Označování, klasifikace a ochrana služby Azure Information Protection (AIP)

  • Článek

Poznámka:

Hledáte Microsoft Purview Information Protection, dříve Microsoft Information Protection (MIP)?

Doplněk Azure Information Protection se vyřadí a nahradí popisky, které jsou integrované v aplikacích a službách Microsoftu 365. Přečtěte si další informace o stavu podpory dalších komponent služby Azure Information Protection.

Nový klient Microsoft Purview Information Protection (bez doplňku) je aktuálně ve verzi Preview a je naplánovaný pro obecnou dostupnost.

Azure Information Protection (AIP) je cloudové řešení, které organizacím umožňuje klasifikovat a chránit dokumenty a e-maily použitím popisků.

Správce může například nakonfigurovat popisek s pravidly, která detekují citlivá data, například informace o platební kartě. V takovém případě se všem uživatelům, kteří uloží informace o platební kartě do souboru Wordu, může v horní části dokumentu zobrazit popisek s doporučením použít příslušný popisek pro tento scénář.

Popisky můžou klasifikovat i volitelně chránit vaše dokumenty, což vám umožní:

  • Sledování a řízení způsobu použití obsahu
  • Analýza toků dat za účelem získání přehledu o vaší firmě – zjišťování rizikových chování a provádění nápravných opatření
  • Sledování přístupu k dokumentům a zabránění úniku nebo zneužití dat
  • A další ...

Jak popisky používají klasifikaci pomocí AIP

Popisování obsahu pomocí AIP zahrnuje:

  • Klasifikace , která se dá zjistit bez ohledu na to, kde jsou data uložená nebo s kým jsou sdílena.
  • Vizuální označení, například záhlaví, zápatí nebo vodoznaky
  • Metadata přidaná do záhlaví souborů a e-mailů ve formátu prostého textu Metadata s prostým textem zajišťují, aby ostatní služby mohly identifikovat klasifikaci a provést odpovídající akci.

Například na následujícím obrázku označení klasifikovalo e-mailovou zprávu jako Obecné:

Ukázková zápatí a záhlaví e-mailu zobrazující klasifikaci služby Azure Information Protection

V tomto příkladu popisek také:

  • Přidání zápatí citlivosti: Obecné do e-mailové zprávy Tato zápatí je vizuální indikátor pro všechny příjemce, kteří jsou určená pro obecná obchodní data, která by se neměla posílat mimo organizaci.
  • Vložená metadata do záhlaví e-mailu Data hlaviček umožňují e-mailovým službám kontrolovat popisek a teoreticky vytvořit položku auditu nebo zabránit jejímu odeslání mimo organizaci.

Popisky můžou automaticky použít správci pomocí pravidel a podmínek, ručně uživateli nebo pomocí kombinace, kde správci definují doporučení zobrazená uživatelům.

Jak AIP chrání vaše data

Azure Information Protection používá službu Azure Rights Management (Azure RMS) k ochraně vašich dat.

Služba Azure RMS je integrovaná s dalšími cloudovými službami a aplikacemi Microsoftu, jako jsou Office 365 a Microsoft Entra ID, a dá se také používat s vlastními aplikacemi nebo aplikacemi třetích stran a řešeními ochrany informací. Azure RMS funguje s místními i cloudovými řešeními.

Azure RMS používá zásady šifrování, identity a autorizace. Podobně jako popisky AIP zůstává ochrana použitá pomocí Azure RMS u dokumentů a e-mailů bez ohledu na umístění dokumentu nebo e-mailu a zajišťuje, že budete mít kontrolu nad obsahem i v případě, že je sdílíte s jinými lidmi.

Nastavení ochrany může být:

  • Součástí konfigurace štítků, aby uživatelé klasifikovaly a chránily dokumenty a e-maily jednoduše použitím popisku.

  • Používají se samostatně aplikacemi a službami, které podporují ochranu, ale ne označování.

    Pro aplikace a služby, které podporují pouze ochranu, se nastavení ochrany používají jako šablony služby Rights Management.

Můžete například chtít nakonfigurovat tabulku sestavy nebo prognózy prodeje, aby k ní měli přístup jenom lidé ve vaší organizaci. V takovém případě byste na nastavení ochrany použili nastavení ochrany, abyste mohli určit, jestli je možné dokument upravovat, omezit ho jen pro čtení nebo zabránit jeho tisku.

E-maily můžou mít podobná nastavení ochrany, aby se zabránilo jejich přeposílání nebo použití možnosti Odpovědět všem.

Šablony služby Rights Management

Jakmile se služba Azure Rights Management aktivuje, máte k dispozici dvě výchozí šablony správy přístupových práv, abyste omezili přístup k datům uživatelům ve vaší organizaci. Tyto šablony použijte okamžitě nebo nakonfigurujte vlastní nastavení ochrany, abyste v nových šablonách použili více omezující ovládací prvky.

Šablony služby Rights Management je možné použít s libovolnými aplikacemi nebo službami, které podporují Azure Rights Management.

Následující obrázek ukazuje příklad z Centra pro správu Exchange, kde můžete nakonfigurovat pravidla toku pošty Exchange Online tak, aby používala šablony RMS:

Příklad výběru šablon pro Exchange Online

Poznámka:

Vytvoření popisku AIP, který obsahuje nastavení ochrany, vytvoří také odpovídající šablonu Rights Management, kterou lze použít odděleně od popisku.

Další informace najdete v tématu Co je Azure Rights Management?

Integrace AIP a koncových uživatelů pro dokumenty a e-maily

Klient AIP nainstaluje panel Information Protection na aplikace Office lications a umožňuje koncovým uživatelům integrovat AIP se svými dokumenty a e-maily.

Například v Excelu:

Příklad panelu Azure Information Protection v Excelu

Popisky se sice dají automaticky použít na dokumenty a e-maily, ale odebrání odhadu uživatelů nebo dodržování zásad organizace umožňuje koncovým uživatelům vybrat popisky a použít klasifikaci sami.

Kromě toho klient AIP umožňuje uživatelům klasifikovat a chránit další typy souborů nebo více souborů najednou pomocí místní nabídky ze systému Windows Průzkumník souborů. Příklad:

Průzkumník souborů kliknutí pravým tlačítkem na Klasifikovat a chránit pomocí služby Azure Information Protection

Možnost Nabídky Klasifikovat a chránit funguje podobně jako panel Information Protection v aplikace Office lications, což uživatelům umožňuje vybrat popisek nebo nastavit vlastní oprávnění.

Tip

Power users or administrators might find that PowerShell commands are efficient for managing and setting classification and protection for multiple files. Příslušné příkazy PowerShellu jsou součástí klienta a dají se nainstalovat také samostatně.

Uživatelé a správci můžou pomocí webů pro sledování dokumentů monitorovat chráněné dokumenty, sledovat, kdo k nim přistupuje a kdy. Pokud mají podezření na zneužití, můžou přístup k těmto dokumentům odvolat. Příklad:

Ikona odvolání přístupu na webu pro sledování dokumentů

Další integrace e-mailu

Použití AIP s Exchange Online poskytuje další výhodu odesílání chráněných e-mailů libovolnému uživateli s jistotou, že si ho může přečíst na jakémkoli zařízení.

Můžete například potřebovat odesílat citlivé informace na osobní e-mailové adresy, které používají účet Gmail, Hotmail nebo Microsoft, nebo uživatelům, kteří nemají účet v Office 365 nebo Microsoft Entra ID. Tyto e-maily by měly být při nečinnosti a přenosu zašifrovány a původní příjemci je musí číst jenom pro čtení.

Tento scénář vyžaduje funkce šifrování zpráv Office 365. Pokud příjemci nemůžou otevřít chráněný e-mail ve svém integrovaném e-mailovém klientovi, můžou k přečtení citlivých informací v prohlížeči použít jednorázové heslo.

Uživatel Gmailu se například může v e-mailové zprávě, kterou obdrží, zobrazit následující výzvu:

Prostředí pro příjemce Gmailu pro OME a AIP

Pro uživatele, který e-mail odesílá, jsou požadované akce stejné jako pro odeslání chráněného e-mailu uživateli ve vlastní organizaci. Vyberte například tlačítko Nepřeposílat, které může klient AIP přidat na pás karet Outlooku.

Funkce Nepřeposílat je také možné integrovat do popisku, který uživatelé můžou vybrat, aby u daného e-mailu použili klasifikaci i ochranu. Příklad:

Výběr popisku nakonfigurovaného pro nepřeposílat

Správa istrátory můžou uživatelům také automaticky poskytovat ochranu tím, že konfigurují pravidla toku pošty, která používají ochranu práv.

Všechny dokumenty Office připojené k těmto e-mailům jsou také automaticky chráněné.

Vyhledávání existujícího obsahu ke klasifikaci a ochraně

V ideálním případě budete popisovat dokumenty a e-maily při jejich vytváření. Pravděpodobně však máte mnoho existujících dokumentů uložených místně nebo v cloudu a chcete tyto dokumenty také klasifikovat a chránit.

Ke klasifikaci a ochraně existujícího obsahu použijte jednu z následujících metod:

  • Místní úložiště: Pomocí skeneru Azure Information Protection můžete zjišťovat, klasifikovat a chránit dokumenty na síťových sdílených složkách a webech a knihovnách Microsoft SharePoint Serveru.

    Skener běží jako služba na Windows Serveru a používá stejná pravidla zásad k detekci citlivých informací a použití konkrétních popisků u dokumentů.

    Případně můžete pomocí skeneru použít výchozí popisek pro všechny dokumenty v úložišti dat bez kontroly obsahu souboru. Pomocí skeneru v režimu generování sestav můžete zjišťovat citlivé informace, které jste možná nevěděli.

  • Cloudové úložiště dat: Použijte Microsoft Defender for Cloud Apps k použití štítků na dokumenty v Boxu, SharePointu a OneDrivu. Kurz najdete v tématu Automatické použití popisků klasifikace služby Azure Information Protection.

Další kroky

Konfigurace a zobrazení služby Azure Information Protection pro vás s využitím našeho rychlého startu a kurzů:

Pokud jste připraveni nasadit tuto službu pro vaši organizaci, přejděte na příručky s postupy.