設定和管理 Azure 資訊保護的範本
保護範本 (亦稱為 Rights Management 範本) 是「Azure 資訊保護」系統管理定義保護設定的群組。 這些設定包括您為授權使者選擇的使用權限,以及將到期與離線存取的存取控制。 這些範本已與 Azure 資訊保護原則整合:
當您有包含分類、標籤和保護的訂用帳戶時, (Azure 資訊保護 P1 或 P2) :
- 未與您的租使用者標籤整合的範本會顯示在Azure 資訊保護 -標籤窗格上的[保護範本] 區段中。 若要流覽至此窗格,請選取 [分類卷>標] 功能表選項。 您可以將這些範本轉換為標籤,或是在為標籤設定保護時與其建立連結。
當您有僅包含保護的訂用帳戶時, (包含 Azure Rights Management 服務的Microsoft 365訂用帳戶) :
- 租使用者的範本會顯示在Azure 資訊保護 - 標籤窗格的[保護範本] 區段中。 若要流覽至此窗格,請選取 [分類卷>標] 功能表選項。 不會顯示任何標籤。 您還會看到分類與標籤專用的組態設定,但這些設定不會影響您的範本,或是無法設定。
例如,如果使用者回報他們可以開啟受保護的內容,但沒有所需的許可權,問題可能是使用者不在針對Rights Management範本設定的正確群組中。 或者,問題可能是範本需要針對使用者或群組重新設定,如本文所述。
預設範本
當您取得 Azure 資訊保護 訂用帳戶或包含 Azure Rights Management 服務的Microsoft 365訂用帳戶時,系統會自動為您的租使用者建立兩個預設範本。 這些範本會限制您對於組織中已獲授權的使用者之存取。 建立這些範本時,這些範本具有設定Azure 資訊保護 許可權檔中所列的許可權。
此外,範本會設定為允許離線存取七天,沒有到期日。
注意
您可以變更這些設定以及預設範本的名稱和描述。 Azure 傳統入口網站不提供這項功能,PowerShell 也仍不支援。
這些預設範本可讓您和其他人輕鬆地立即開始保護貴組織的敏感性資料。 這些範本可以搭配 Azure 資訊保護標籤來使用,或是單獨與可使用版權管理範本的應用程式和服務搭配。
您也可以建立自己的自訂範本。 您也許只需要幾個範本,但您最多可以在 Azure 儲存 500 個自訂範本。
預設範本中包含的權限
下表列出建立預設範本時所含的使用權限。 使用權限是依一般名稱列出。
當您的訂用帳戶購買時,會建立這些預設範本,而且可以使用 PowerShell 在Azure 入口網站和PowerShell中變更名稱和許可權。
| 範本的顯示名稱 | 2017 年 10 月 6 日到目前日期的使用權限 | 2017 年 10 月 6 日前的使用權限 |
|---|---|---|
| <組織名稱 > - 僅限機密檢視 或 高度機密 \ 所有員工 |
檢視、開啟、讀取;複製;檢視權限;允許巨集;列印;轉寄;回覆;全部回覆;儲存;編輯內容、編輯 | 檢視、開啟、讀取 |
| <組織名稱 > - 機密 或 機密 \ 所有員工 |
檢視、開啟、讀取;另存新檔、匯出;複製;檢視權限;變更權限;允許巨集;列印;轉寄;回覆;全部回覆;儲存;編輯內容、編輯;完整控制 | 檢視、開啟、讀取;另存新檔、匯出;編輯內容、編輯;檢視權限;允許巨集;轉寄;回覆;全部回覆 |
預設範本名稱
如在近期取得訂用帳戶,就會使用下列名稱建立您的預設範本:
機密\所有員工
極機密\所有員工
如果您稍早取得訂用帳戶,您的預設範本可能會以下列名稱建立:
<組織名稱 > - 機密
<組織名稱 > - 僅限機密檢視
您可在使用 Azure 入口網站時,重新命名 (及重新設定) 這些預設範本。
注意
如果您沒有在[Azure 資訊保護 - 卷標] 窗格中看到預設範本,這些範本會轉換成標籤,或連結到標籤。 它們仍然以範本的形式存在,但在 Azure 入口網站中,您會看到它們作為包含雲端金鑰保護設定之標籤設定的一部分。 您一律可以從AIPService PowerShell 模組執行Get-AipServiceTemplate,以確認租使用者擁有的範本。
依照後面的將範本轉換成標籤一節中所述,您可以手動轉換範本,然後視需要將其重新命名。 或者,如果最近才建立您的預設 Azure 資訊保護原則,且當時已為您的租用戶啟用 Azure Rights Management Service,則會為您自動轉換範本。
封存的範本會顯示為 [Azure 資訊保護 - 標籤] 窗格中無法使用。 您無法針對標籤選取這些範本,但它們可以轉換成標籤。
Azure 入口網站中的範本考量
在您編輯這些範本或將它們轉換成標籤之前,請確定您了解下列變更和考量。 由於實作變更,如果您之前是在 Azure 傳統入口網站中管理範本,下列清單特別重要。
在編輯或轉換範本並儲存 Azure 資訊保護原則之後,原始的使用權限會發生下列變更。 如有需要,您可以使用 Azure 入口網站將個別的使用權限新增或移除。 或者,搭配 New-AipServiceRightsDefinition 和 Set-AipServiceTemplateProperty Cmdlet 使用 PowerShell。
- 允許巨集 (一般名稱) 會自動新增。 Office 應用程式中的 Azure 資訊保護列需要此使用權限。
已發佈和封存設定會顯示為[已啟用]:[開啟] 和 [啟用]:分別在 [標籤] 窗格上關閉。 對於您想要保留但不希望使用者或服務看到的範本,可以將這些範本設定為 [已啟用: 關閉]。
您無法複製或刪除 Azure 入口網站中的範本。 當範本轉換成標籤時,您可以針對包含此標籤選項的檔和電子郵件選取 [設定許可權] 來設定標籤以停止使用範本。 或者,您可以刪除標籤。 不過,在這兩種情況下,不會將範本刪除,且會維持已封存狀態。
使用 PowerShell Remove-AipServiceTemplate Cmdlet 刪除範本是 永久的。 也可以針對不會轉換成標籤的範本使用此 PowerShell Cmdlet。 不過,為了確保先前受保護的內容可以如預期般開啟及使用,通常不建議刪除範本。 最佳做法為,僅在您確定範本未用來保護生產環境中的文件或電子郵件時,才刪除範本。 使用 PowerShell 永久刪除範本之前,請考慮使用 Export-AipServiceTemplate Cmdlet 將範本匯出為備份。
目前,如果您編輯並儲存部門範本,它會將範圍設定移除。 在 Azure 資訊保護原則中,範圍範本的對等項目是範圍原則。 將範本轉換為標籤時,可選取現有的範圍。
此外,您無法使用 Azure 入口網站設定部門範本的應用程式相容性設定。 如有必要,您可以使用 Set-AipServiceTemplateProperty Cmdlet 和 EnableInLegacyApps 參數來設定此應用程式相容性設定。
當您將範本轉換成或連結到某個標籤時,它再也無法供其他標籤使用。 此外,此範本不會再顯示於 [保護範本] 區段中。
您無法從 [保護範本] 區段中建立新範本。 請改為建立具有 [保護 ] 設定的標籤,並從 [ 保護 ] 窗格設定許可權和設定。 如需完整指示,請參閱若要建立新範本。
在 Azure 資訊保護原則中設定範本
如果您尚未啟動,請開啟新的瀏覽器視窗並登入 Azure 入口網站。 然後流覽至[Azure 資訊保護 - 標籤] 窗格。
例如,在資源、服務和文件的搜尋方塊中:輸入 [資訊],然後選取 [Azure 資訊保護]。
從 [分類卷>標] 功能表選項:在[Azure 資訊保護 - 卷標] 窗格中,展開[保護範本],然後找出您想要設定的範本。
選取範本,然後在 [ 標籤 ] 窗格上,您可以編輯 [卷 標顯示名稱 ] 和 [ 描述],視需要變更範本名稱和描述。 然後,選取 [ 保護 ],其值為 Azure (雲端金鑰) ,以開啟 [ 保護 ] 窗格。
在 [ 保護 ] 窗格中,您可以變更許可權、內容到期和離線存取設定。 如需設定保護設定的詳細資訊,請參閱如何針對版權管理保護設定標籤
按一下 [確定 ] 以保留您的變更,然後在 [ 標籤 ] 窗格中,按一下 [ 儲存]。
注意
如果您已將標籤設定為使用預先定義的範本,您也可以使用[保護] 窗格上的 [編輯範本] 按鈕來編輯範本。 不提供其他標籤也可以使用選取的範本,此按鈕會將範本轉換成標籤,讓您直接跳到步驟 5。 如需範本轉換至標籤時所發生之情況的詳細資訊,請參閱下一節。
將範本轉換為標籤
當您的訂用帳戶包含分類、標記和保護時,您可以將範本轉換為標籤。 當您轉換範本時,會保留原始範本,但在新的 Azure 入口網站中,該範本會顯示為包含在新標籤內。
例如,如果您轉換名為 [行銷] 的標籤,而該標籤是授與行銷群組的使用權限,在 Azure 入口網站中,它現在會顯示為 [行銷] 標籤,而且具有相同的保護設定。 如果您在這個新建的標籤中變更保護設定,就是在範本中變更,使用此範本的任何使用者或服務在下次重新整理範本時,會取得新的保護設定。
您不需將所有範本都轉換為標籤,但當您這麼做時,保護設定會與標籤的完整功能整合,讓您不必個別維護設定。
如果要將範本轉換為標籤,以滑鼠右鍵按一下範本,然後選取 [轉換為標籤]。 或者,使用內容功能表來選取此選項。
您也可以在設定保護和預先定義範本的標籤時,使用 [編輯範本] 按鈕,將範本轉換為標籤。
當您將範本轉換為標籤時:
範本的名稱會轉換成新的標籤名稱,範本描述則會轉換成標籤工具提示。
如果範本的狀態是已發佈,這項設定對應的標籤會是 [已啟用: 開啟],下次您發佈 Azure 資訊保護原則時,範本現在會向使用者顯示為此標籤。 如果範本的狀態為已封存,這項設定對應的標籤會是 [已啟用: 關閉],而且不會向使用者顯示為可用的標籤。
保護設定會保留,而且您可視需要編輯這些設定,以及新增其他標籤設定,例如視覺標記和條件。
原始範本不會再顯示於 [保護範本] 中,而且無法在設定標籤的保護時,選取為預先定義的範本。 若要在 Azure 入口網站中編輯此範本,您現在需編輯轉換範本時所建立的標籤。 範本仍然可供 Azure Rights Management 服務使用,而且仍可使用 PowerShell 命令進行管理。
若要建立新範本
您可以使用入口網站或 PowerShell 來建立範本。
使用 PowerShell 建立範本
若要使用具有指定名稱、描述、原則和所需狀態設定的 PowerShell 建立新的保護範本,請使用 Add-AipServiceTemplate Cmdlet。
使用入口網站建立範本
當您使用入口網站建立新的標籤搭配Azure (雲端金鑰) 的保護設定時,此動作會建立新的自訂範本,然後可供與Rights Management範本整合的服務與應用程式存取。
從 [分類卷>標] 功能表選項:在[Azure 資訊保護 - 卷標] 窗格中,選取 [新增標籤]。
在 [ 標籤 ] 窗格中,保留 [ 已啟用: 開啟] 的預設值,然後輸入範本名稱和描述的標籤名稱和描述。
針對 [為包含此標籤的文件與電子郵件設定權限],選取 [保護],然後選取 [保護]:
在 [ 保護 ] 窗格中,您可以變更許可權、內容到期和離線存取設定。 如需設定這些保護設定的詳細資訊,請參閱如何針對版權管理保護設定標籤
按一下 [確定 ] 以保留您的變更,然後在 [ 標籤 ] 窗格中,按一下 [ 儲存]。
在[Azure 資訊保護 - 卷標] 窗格中,您現在會看到新的標籤以PROTECTION資料行顯示,以指出它包含保護設定。 這些保護設定會顯示為支援 Azure Rights Management 服務之應用程式和服務的範本。
雖然已啟用標籤,但預設會封存範本。 因此,應用程式和服務可以使用範本來保護文件和電子郵件,完成發行範本的最後一個步驟。
從 [分類原則>]功能表選項中,選取要包含新保護設定的原則。 然後選取 [新增或移除標籤]。 從 [ 原則:新增或移除標籤 ] 窗格中,選取包含您保護設定的新建標籤,選取 [ 確定],然後選取 [ 儲存]。
後續步驟
執行 Azure 資訊保護用戶端的電腦約需 15 分鐘取得這些變更的設定。 如需電腦和服務如何下載及重新整理範本的相關資訊,請參閱重新整理使用者和服務範本。
如果範本名稱和描述不足以選擇正確的範本,請務必向使用者提供要選取哪些範本的指示。
您在 Azure 入口網站中建立和管理範本所設定的一切動作,也可以利用 PowerShell 來完成。 此外,PowerShell 還提供其他不適用於入口網站的選項。 如需詳細資訊,請參閱保護範本的 PowerShell 參考。
如需關於設定 Azure 資訊保護原則的詳細資訊,請使用設定組織的原則一節中的連結。