教學課程：設定搭配運作的 Azure 資訊保護原則設定

發行項
08/17/2020

在本教學課程中，您將了解如何：

設定搭配運作的原則設定
看您的設定實際運作

您可以使用 Azure 資訊保護原則設定執行下列動作，這樣就不需依賴使用者手動標記文件與電子郵件：

確保有適用於新內容和已編輯的分類基礎層級
讓使用者了解標籤，並且讓他們輕鬆就能套用正確的標籤

您可以在大約 15 分鐘內完成此教學課程。

若要部署 AIP 傳統用戶端，請建立支援票證以取得下載存取權。

必要條件

若要完成本教學課程，您需要：

包含 Azure 資訊保護的訂用帳戶。
[Azure 資訊保護] 窗格已新增至 Azure 入口網站，而且您有一或多個在 Azure 資訊保護全域原則中發佈的標籤。

這些步驟會涵蓋於快速入門：將 Azure 資訊保護新增至 Azure 入口網站並檢視原則。
Azure 資訊保護傳統用戶端會安裝在您的 Windows 電腦上 (至少必須為 Windows 7 Service Pack 1)。
您已從下列其中一個類別登入 Office 應用程式：
- 當使用者獲指派 Azure 版權管理 (也稱為適用於 Microsoft 365 的 Azure 資訊保護) 的授權時，來自 Microsoft 365 Apps 商務版或 Microsoft 365 商務進階版的 Office 應用程式 (對於列在更新通道的 Microsoft 365 Apps 支援版本表格內的版本)
- Microsoft 365 Apps 企業版。
- Office 專業增強版 2019。
- Office 專業增強版 2016。
- Office 專業增強版 2013 Service Pack 1。
- Office 專業增強版 2010 Service Pack 2。

如需使用 Azure 資訊保護之先決條件的完整清單，請參閱 Azure 資訊保護需求。

讓我們開始這次的教學。繼續進行編輯 Azure 資訊保護原則。

編輯 Azure 資訊保護原則

您可以使用一些原則設定來確保分類的基礎層級，這樣就不需依賴使用者手動標記文件和電子郵件。

藉由使用 Azure 入口網站，我們將編輯全域原則，以變更所有使用者的原則設定。

開啟新的瀏覽器視窗並以全域系統管理員的身分登入 Azure 入口網站。然後瀏覽至 [Azure 資訊保護] 。

例如，在資源、服務和文件的搜尋方塊中：輸入 [資訊]，然後選取 [Azure 資訊保護]。

若您不是全域管理員，請針對替代角色使用以下連結：登入 Azure 入口網站
選取 [分類]>[原則][全域]> 以開啟 [原則: 全域] 窗格。
在 [設定要在資訊保護終端使用者上顯示及套用的設定] 區段中，於標籤後找到原則設定。您的設定值可能會和下列顯示的不同：

將您的設定變更為符合下列表格中的值。記下您變更的設定，以防您完成此教學課程之後想要變更為回原本的設定。

設定	值	資訊
選取預設標籤	一般	[一般] 標籤是 Azure 資訊保護可以為您建立的其中一個預設標籤。此步驟涵蓋於建立和發佈標籤快速入門中。如果您沒有名為 [一般] 的標籤，請從下拉式清單中選取另一個標籤。未標記的文件和電子郵件會自動套用此標籤，以作為基礎分類。不過，使用者可以將您所選的標籤變更為其他標籤。
所有文件與電子郵件都必須有標籤	開啟	此設定通常稱為強制標記，因為它可防止使用者儲存或傳送未標記的文件或電子郵件。配合預設標籤，文件和電子郵件將會有您設定的預設標籤，或使用者選擇的標籤。
對於有附件的電子郵件訊息，請套用符合這些附件最高分類的標籤	建議需求	當使用者附加的文件具有比您選取的預設標籤更高的分類時，此設定會提示他們為其電子郵件選取較高的分類標籤。
在 Office 應用程式中顯示資訊保護列	開啟	顯示資訊保護列可讓使用者更容易查看和變更預設標籤。

設定現在看起來應該如下：

Azure Information Protection tutorial - default settings changed

選取 [儲存] (位於此 [原則:全域] 窗格上)；如果系統提示您確認動作，請選取 [確定] 。

看您的原則設定實際運作

針對此教學課程，我們將使用 Word 和 Outlook 來看您的原則變更實際運作。如果在您變更原則設定之前，這些應用程式已經載入，請將它們重新啟動以下載變更。

預設標籤和資訊保護列

在 Word 中開啟新文件。您會看到文件自動標記為 [一般] ，而不是依賴使用者選取標籤。

藉由顯示資訊保護列和可用的標籤，使用者很容易就能看到目前選取的標籤，且如果預設標籤不適當，他們可以變更標籤：

Azure Information Protection tutorial - new document with default label

請關閉資訊保護列，但不變更標籤，以比較未顯示資訊保護列的體驗：

[一般] 標籤仍然是已選取，但較不明顯。選取其他標籤的方式也較不明顯。若要這麼做，使用者必須選取 [保護] 按鈕：

Azure Information Protection tutorial - Protect button selected

現在於下拉式功能表中，您會看到 [一般] 標籤為已選取，因為它旁邊有核取記號。若要變更目前選取的標籤，使用者可以從清單中選取其他標籤。當使用者還不熟悉標記時，他們可能會忘記每次都要選取 [保護] 按鈕。他們可能也不會注意到可以選取其他標籤。

若要再次顯示資訊保護列，請從下拉式功能表中選取 [顯示列] 。

提示

您也可以設定進階用戶端設定，來為 Outlook 選取其他預設標籤。

強制標記

您可以將目前選取的 [一般] 標籤變更為其他標籤，但您無法將它移除。因為我們將 [所有文件與電子郵件都必須有標籤] 設定變更為 [開啟] ，所以在資訊保護列上沒有刪除標籤圖示。

如果我們沒有變更該設定，資訊保護列會顯示此圖示：

強制標記和預設標籤搭配時，可確保新的和已編輯的文件 (和電子郵件)，都有您選擇的基礎分類。

如果未使用強制標記設定來設定預設標籤，當使用者儲存未標記的文件或傳送未標記的電子郵件時，系統一律會提示他們選取標籤。對於許多使用者，這些持續提示可能令人感到受挫，而且也可能造成較不精確的標記。當他們完成處理文件或電子郵件時，出現要選取標籤的提示會中斷他們的工作流程，他們會傾向於隨意選取標籤，好繼續他們的工作。

含附件之電子郵件的建議

對於開啟 Word 文件，選擇比 [一般] 更高分類的標籤。例如，[機密] 底下的其中一個子標籤，像是 [機密 - 任何人 (未受保護)] 。將文件儲存在本機，並給它任何名稱。

啟動 Outlook 並建立新的電子郵件訊息。如我們在 Word 中所看到，新的電子郵件訊息自動標記為 [一般] ，且資訊保護列也已顯示。

將您剛才標記的 Word 文件新增為電子郵件訊息的附件。您會看到將電子郵件標籤變更為符合該 Word 附件之 [機密] 的提示。您可以接受建議，或將它關閉：

Azure Information Protection tutorial - prompt to relabel email to match labeled attachment

如果您按一下 [關閉] ，就不會套用新的標籤，但您會看到電子郵件仍然標記為我們設定的預設標籤 ([一般] )。可用的標籤仍然會顯示為可選取的替代項目。

如果您選取 [立即變更]，則會將電子郵件重新標記為 [機密] 子標籤。不過，使用者在傳送電子郵件之前，仍然可以選取編輯標籤圖示來變更標籤：

資訊保護列會再次顯示，供使用者選取替代的標籤。

因為在傳送電子郵件之前已經選取標籤，所以不需要實際傳送電子郵件來查看此原則設定的運作方式。您可以關閉電子郵件，而不傳送或儲存它。

不過，您可能會想要重複此練習，但附加較高分類 ([高度機密] 標籤的子標籤) 的其他文件。然後，您會看到提示變更為要套用較高的分類標籤。若您使用具有相同父標籤的子標籤測試多個附件，您必須在 Azure 入口網站中設定進階用戶端設定以支援其順序。

清除資源

如果您不想要保留您在此教學課程中所做的變更，請執行下列步驟：

選取 [分類]>[原則][全域]> 以開啟 [原則: 全域] 窗格。
將原則設定還原為您記下來的原始值，然後選取 [儲存] 。

重新啟動 Word 和 Outlook 應用程式以下載這些變更。

後續步驟

如需有關如何編輯 Azure 資訊保護原則設定的詳細資訊，請參閱如何設定 Azure 資訊保護的原則設定。

我們變更的原則設定有助於確保基礎層級的分類，且能鼓勵使用者選取適當的標籤。下一步是藉由檢查文件和電子郵件的內容，然後建議或自動套用適當的標籤，以增強此策略。您會藉由針對條件設定標籤來這麼做。若要深入了解，請參閱如何設定適用於 Azure 資訊保護的自動分類與建議分類條件。