Azure 資訊保護傳統用戶端的常見問題

何時適合將標籤移轉至統一標籤？

我們建議您將 Azure 資訊保護 標籤移轉至統一標籤平臺，以便將它們當做敏感度標籤搭配支援統一標籤的其他用戶端和服務使用。

如需詳細資訊和指示，請參閱如何將 Azure 資訊保護 標籤移轉至統一的敏感度標籤。

移至敏感度標籤和統一標籤平臺之後，是否需要重新加密我的檔案？

否，從 AIP 傳統用戶端移轉之後，在移轉至敏感度標籤和統一標籤平臺之後，您不需要重新加密檔案，以及在Azure 入口網站中管理的標籤。

移轉之後，請從Microsoft 365合規性中心管理您的標籤和標籤原則。

如需詳細資訊，請參閱Microsoft 365檔和瞭解統一標籤移轉部落格中的敏感度標籤。

Microsoft 365標籤與 Azure 資訊保護中的標籤有何差異？

最初，Microsoft 365只有保留標籤，可讓您在內容儲存在Microsoft 365服務時分類檔和電子郵件以進行稽核和保留。

相反地，Azure 資訊保護標籤是在Azure 入口網站中使用AIP 傳統用戶端所設定，可讓您針對檔與電子郵件套用一致的分類和保護原則，無論是儲存在內部部署還是雲端中。

Microsoft 365除了保留標籤之外，還支援敏感度標籤。 您可以在Microsoft 365合規性中心建立和設定敏感度標籤。

如果您在Azure 入口網站中設定了舊版 AIP 標籤，建議您將它們遷移至敏感度標籤和統一標籤用戶端。 如需詳細資訊，請參閱教學課程：從 Azure 資訊保護 (AIP) 傳統用戶端移轉至統一標籤用戶端。

如需詳細資訊，請參閱宣佈提供資訊保護功能來協助保護敏感性資料 \(英文\)。

Azure 資訊保護用戶端是否僅適用於包含分類與標記的訂用帳戶？

否。 傳統 AIP 用戶端也可以與只包含 Azure Rights Management 服務的訂用帳戶搭配使用，僅供資料保護之用。

在沒有 Azure 資訊保護 原則的情況下安裝傳統用戶端時，用戶端會自動以僅限保護模式運作，讓使用者套用Rights Management範本和自訂許可權。

如果您稍後購買包含分類與標記的訂用帳戶，用戶端會在下載 Azure 資訊保護原則之後，自動切換至標準模式。

設定Rights Management擁有者

根據預設，針對 Windows Server FCI 和 Azure 資訊保護 掃描器，Rights Management擁有者會設定為保護檔案的帳戶。

覆寫預設設定，如下所示：

• Windows Server FCI：將Rights Management擁有者設定為所有檔案的單一帳戶，或動態設定每個檔案的Rights Management擁有者。

  若要動態設定 Rights Management 擁有者，請使用 -OwnerMail [來源檔案擁有者電子郵件] 參數與值。 此設定會使用檔案 Owner 屬性中的使用者帳戶名稱，從 Active Directory 擷取使用者的電子郵件地址。

• Azure 資訊保護 掃描器：針對新受保護的檔案，請將Rights Management擁有者設定為指定資料存放區上所有檔案的單一帳戶，方法是在掃描器設定檔中指定-Default owner設定。

  不支援動態設定每個檔案的Rights Management擁有者，而且先前保護的檔案不會變更Rights Management擁有者。

  注意

  當掃描器保護 SharePoint 網站與文件庫的檔案時，會使用 SharePoint 編輯器值動態地設定個別檔案的 Rights Management 擁有者。

一個檔案可以有多個分類嗎？

使用者一次只能為各文件或電子郵件選擇一個標籤，而結果通常就只會有一個分類。 不過，如果使用者選取了子標籤，這實際上會一次套用兩個標籤；一個主要標籤和一個次要標籤。 使用子標籤就能讓檔案擁有兩個分類，也就是父\子關係的一層額外控制。

例如，[機密] 標籤可能會包含子標籤，例如 [法務] 和 [財務]。 您可以將不同的分類視覺標記和不同的 Rights Management 範本套用到這些子標籤。 使用者無法選取 [機密] 標籤本身；只能選取其中一個子標籤，例如 [法務]。 因此，他們看到的標籤會是 [機密\法務]。 該檔案的中繼資料包含一個代表 [機密] 的自訂文字屬性、一個代表 [法務] 的自訂文字屬性，以及另一個包含這兩個值 ([機密]、[法務]) 的自訂文字屬性。

當您使用子標籤時，請不要在主要標籤設定視覺標記、保護及條件。 當您使用子層級時，請只在子層級設定這些設定值。 如果您在主要標籤及其子標籤上進行這些設定，子標籤設定的優先順序較高。

如何防止某人移除或變更標籤？

雖然有一個原則 設定 需要使用者陳述為何降低分類標籤、移除標籤或移除保護，但此設定不會防止這些動作。 若要防止使用者移除或變更標籤，內容必須已經受到保護，且保護許可權不會授與使用者「匯出」或「完全控制」 許可權

DLP 方案和其他應用程式如何與 Azure Information Protection 整合？

因為 Azure Information Protection 使用持續性的中繼資料來進行分類，其中包括純文字標籤，所以 DLP 方案和其他應用程式可以讀取此資訊。

如需此中繼資料的詳細資訊，請參閱電子郵件與文件中儲存的標籤資訊。

如需此中繼資料與 Exchange Online 郵件流程規則搭配使用的範例，請參閱設定 Azure 資訊保護標籤的 Exchange Online 郵件流程規則。

我是否可建立會自動包含分類的文件範本？

是。 您可以設定標籤以套用包含標籤名稱的頁首或頁尾。 但如果不符合您的需求，則只有 Azure 資訊保護傳統用戶端，您可以建立具有所需格式的檔範本，並將分類新增為功能變數代碼。

例如，您在顯示分類的文件頁首中可能有表格。 或者，您針對文件分類的參考簡介使用特定的措辭。

若要在您的文件中新增此功能變數代碼：

1. 標記文件，並將它儲存。 這個動作會建立新的中繼資料欄位，您可以立即用於功能變數代碼。

2. 在文件中，將游標放到您要新增標籤分類的位置，然後從 [插入] 索引標籤選取 [文字]>[快速組件]>[功能變數]。

3. 在 [功能變數] 對話方塊中，從 [類別] 下拉式選單，選取 [文件資訊]。 然後從 [功能變數名稱] 下拉式選單，選取 [DocProperty]。

4. 從 [屬性] 下拉式清單選取 [敏感度]，然後選取 [確定]。

目前標籤的分類會顯示在文件中，且每當您開啟文件或使用範本時，這個值都會自動重新整理。 因此如果標籤變更，針對此功能變數代碼顯示的分類會自動在文件中更新。

使用 Azure 資訊保護的電子郵件分類與Exchange郵件分類有何不同？

Exchange郵件分類是一項較舊的功能，可分類電子郵件，而且會與套用分類的 Azure 資訊保護標籤或敏感度標籤分開實作。

不過，您可以將這個較舊的功能與標籤整合，如此一來，當使用者使用Outlook 網頁版並使用某些行動郵件應用程式來分類電子郵件時，會自動新增標籤分類和對應的標籤標記。

使用 Outlook 網頁版和這些行動電子郵件應用程式時都能使用這項技術來使用您的標籤。

請注意，如果您使用Outlook 網頁版搭配 Exchange Online，就不需要這麼做，因為當您從Microsoft 365合規性中心發佈敏感度標籤時，此組合支援內建標籤。

如果您無法搭配Outlook 網頁版使用內建標籤，請參閱此因應措施的設定步驟：與舊版Exchange郵件分類整合

如何設定 Mac 電腦以保護及追蹤文件？

首先，請確認您已經使用 https://admin.microsoft.com 的軟體安裝連結來安裝 Mac 版 Office。 如需完整指示，請參閱在 PC 或 Mac 上下載並安裝或重新安裝Microsoft 365或Office 2019。

開啟Outlook並使用您的Microsoft 365公司或學校帳戶建立設定檔。 然後，建立一封新郵件，執行下列工作來設定 Office 使用 Azure Rights Management 服務保護文件和電子郵件：

1. 在新郵件中，於 [選項] 索引標籤上按一下 [權限]，然後按一下 [驗證認證]。

2. 出現提示時，請再次指定您的Microsoft 365公司或學校帳戶詳細資料，然後選取 [登入]。

   這樣會下載 Azure Rights Management 範本，[驗證認證] 現在會由其他選項取代，包含 [沒有限制]、[不要轉寄]，以及針對您的租用戶發佈的任何 Azure Rights Management 範本。 您現在可以取消這封新郵件。

若要保護電子郵件或文件：在 [選項] 索引標籤上，按一下 [權限]，選擇一個保護電子郵件或文件的選項或範本。

若要在保護檔之後追蹤檔：從已安裝 Azure 資訊保護 傳統用戶端的Windows電腦，使用Office應用程式或檔案總管向檔追蹤網站註冊檔。 如需指示，請參閱追蹤及撤銷您的文件。 您現在可以從 Mac 電腦使用網頁瀏覽器移至檔追蹤網站， (https://track.azurerms.com) 來追蹤和撤銷此檔。

在文件追蹤網站中測試撤銷時，有訊息指出使用者在 30 天內仍然可以存取文件，這個期限是可以設定的嗎？

是。 此訊息會反映該特定檔案的使用授權。

如果撤銷檔案，只有使用者向 Azure Rights Management 服務驗證才會執行該動作。 所以，如果檔案的使用授權有效期間為 30 天，而使用者已開啟文件，則該使用者在使用授權的持續時間內可以繼續存取文件。 當使用授權過期時，使用者必須重新驗證，此時會拒絕使用者存取，因為文件已撤銷。

保護文件的使用者 (即 Rights Management 簽發者) 無須套用此撤銷，且一律可存取其文件。

租用戶使用授權有效期間的預設值是 30 天，而且標籤或範本中更嚴格的設定會覆寫此設定。 如需使用授權和其設定方式的詳細資訊，請參閱 Rights Management 使用授權文件。

BYOK 和 HYOK 之間的差異，以及何時應該使用它們？

在 Azure 資訊保護的內容中，「自備金鑰」(BYOK) 是指您針對 Azure Rights Management 保護於內部部署建立您自己的金鑰。 接著，您將該金鑰傳輸到 Azure 金鑰保存庫中的硬體安全模組 (HSM)，您可以在其中繼續擁有並管理您的金鑰。 如果您沒有這麼做，Azure Rights Management 保護會使用在 Azure 中為您自動建立與管理的金鑰。 此預設設定稱為「受 Microsoft 管理」，而非「受客戶管理」(BYOK 選項)。

如需 BYOK 及您是否應為組織選擇此金鑰拓撲的詳細資訊，請參閱規劃及實作您的 Azure 資訊保護租用戶金鑰。

在 Azure 資訊保護的內容中，保存您自己的金鑰 (HYOK) 適用於少數組織，這些組織擁有無法受儲存於雲端之金鑰保護的文件或電子郵件子集。 對於這些組織而言，即使它們使用 BYOK 建立金鑰並加以管理，這項限制仍然存在。 限制的原因通常是因為法令或合規性因素，且 HYOK 設定應僅適用於永遠不會在組織外部共用、僅限內部網路使用，且不需要從行動裝置存取的「最高機密」資訊。

針對這些例外狀況 (一般不會超過所有需要保護之內容的 10%)，組織可以使用內部部署解決方案 Active Directory Rights Management Services 來建立保存於內部部署的金鑰。 使用此解決方案時，電腦會從雲端取得其 Azure 資訊保護原則，但這個已識別內容可以使用內部部署金鑰來保護。

如需關於 HYOK 的詳細資訊，並確定您了解其限制事項，及其使用時機的指引，請參閱適用於 AD RMS 保護的「保存您自己的金鑰」(HYOK) 需求和限制。

如果我的問題不在這裡，該怎麼辦？

首先，請檢閱下面所列的常見問題，這些問題專屬於分類和標記，或資料保護的特定問題。 Azure Rights Management服務 (Azure RMS) 為 Azure 資訊保護提供資料保護技術。 您可以搭配使用 Azure RMS、分類和標記，也可以單獨使用。

• Azure 資訊保護的常見問題集

• 分類和標記的常見問題集

• 資料保護的常見問題集

如果未回答您的問題，請參閱Azure 資訊保護的資訊和支援中所列的連結和資源。

此外，還有專為使用者設計的常見問題集：

• 適用於 iOS 和 Android 之 Azure 資訊保護應用程式的常見問答集

• FAQ for RMS sharing app for Mac computers (適用於 Mac 電腦的 RMS 共用應用程式常見問題集)