Plán nasazení AIP pro klasifikaci, označování a ochranuAIP deployment roadmap for classification, labeling, and protection

*Platí pro: Azure Information Protection, Office 365**Applies to: Azure Information Protection, Office 365*

*Relevantní pro: AIP s jednotným označením klienta a klasického klienta**Relevant for: AIP unified labeling client and classic client*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Následující kroky použijte jako doporučení, které vám pomůžou připravit, implementovat a spravovat Azure Information Protection pro vaši organizaci, pokud chcete klasifikovat, označovat a chránit vaše data.Use the following steps as recommendations to help you prepare for, implement, and manage Azure Information Protection for your organization, when you want to classify, label, and protect your data.

Tento plán se doporučuje pro všechny zákazníky s podpůrným předplatným.This roadmap is recommended for any customers with a supporting subscription. Mezi další možnosti patří zjišťování citlivých informací a označování dokumentů a e-mailů pro klasifikaci.Additional capabilities include both discovering sensitive information and labeling documents and emails for classification.

Popisky můžou také použít ochranu a zjednodušit tento krok pro uživatele.Labels can also apply protection, simplifying this step for your users.

Proces nasazeníDeployment process

Proveďte tyto kroky:Perform the following steps:

  1. Ověření předplatného a přiřazení uživatelských licencíConfirm your subscription and assign user licenses
  2. Příprava tenanta na použití Azure Information ProtectionPrepare your tenant to use Azure Information Protection
  3. Konfigurace a nasazení klasifikace a označováníConfigure and deploy classification and labeling
  4. Příprava na ochranu datPrepare for data protection
  5. Konfigurace popisků a nastavení, aplikací a služeb pro ochranu datConfigure labels and settings, applications, and services for data protection
  6. Použití a sledování řešení ochrany datUse and monitor your data protection solutions
  7. Podle potřeby Spravujte službu ochrany pro váš účet tenanta.Administer the protection service for your tenant account as needed

Tip

Už používáte funkci ochrany z Azure Information Protection?Already using the protection functionality from Azure Information Protection? Mnohé z těchto kroků můžete přeskočit a soustředit se na kroky 3 a 5,1.You can skip many of these steps and focus on steps 3 and 5.1.

Ověření předplatného a přiřazení uživatelských licencíConfirm your subscription and assign user licenses

Ujistěte se, že má vaše organizace předplatné, které zahrnuje funkce a funkce, které očekáváte.Confirm that your organization has a subscription that includes the functionality and features you expect. Tyto podrobnosti najdete na stránce s cenami Azure Information Protection .You can find these details on the Azure Information Protection Pricing page.

Pak přiřaďte licence z tohoto předplatného každému uživateli ve vaší organizaci, který bude klasifikovat, označovat a chránit dokumenty a e-maily.Then, assign licenses from this subscription to each user in your organization who will classify, label, and protect documents and emails.

Důležité

Nepřiřazujte uživatelské licence ručně z bezplatného předplatného RMS pro jednotlivce a nepoužívejte tuto licenci ke správě služby Azure Rights Management ve vaší organizaci.Do not manually assign user licenses from the free RMS for individuals subscription, and do not use this license to administer the Azure Rights Management service for your organization.

Tyto licence se zobrazují jako Rights Management ad hoc v centru pro správu Microsoft 365 a RIGHTSMANAGEMENT_ADHOC při spuštění rutiny Azure AD PowerShellu Get-MsolAccountSku Zjistěte.These licenses display as Rights Management Adhoc in the Microsoft 365 admin center, and RIGHTSMANAGEMENT_ADHOC when you run the Azure AD PowerShell cmdlet, Get-MsolAccountSku.

Další informace najdete v tématu RMS pro jednotlivce a Azure Information Protection.For more information, see RMS for individuals and Azure Information Protection.

Příprava tenanta na použití Azure Information ProtectionPrepare your tenant to use Azure Information Protection

Než začnete používat Azure Information Protection, ujistěte se, že máte uživatelské účty a skupiny v Microsoft 365 nebo Azure Active Directory, které AIP můžou použít k ověřování a autorizaci uživatelů.Before you begin using Azure Information Protection, make sure that you have user accounts and groups in Microsoft 365 or Azure Active Directory that AIP can use to authenticate and authorize your users.

V případě potřeby vytvořte tyto účty a skupiny, nebo je synchronizujte z místního adresáře.If necessary, create these accounts and groups, or synchronize them from your on-premises directory.

Další informace najdete v článku Příprava uživatelů a skupin pro službu Azure Information Protection.For more information, see Preparing users and groups for Azure Information Protection.

Konfigurace a nasazení klasifikace a označováníConfigure and deploy classification and labeling

Proveďte tyto kroky:Perform the following steps:

  1. Naskenujte soubory (volitelné, ale doporučené).Scan your files (optional but recommended)

    Nasaďte klienta Azure Information Protectiona potom nainstalujte a spusťte skener , abyste zjistili citlivé informace, které máte v místních úložištích dat.Deploy the Azure Information Protection client, and then install and run the scanner to discover the sensitive information you have on your local data stores.

    Informace, které skener najde, vám může pomáhat s taxonomií klasifikace, poskytnout cenné informace o tom, jaké popisky potřebujete a které soubory potřebují chránit.The information that the scanner finds can help you with your classification taxonomy, provide valuable information about what labels you need, and which files need protecting.

    Režim zjišťování skeneru nevyžaduje žádnou konfiguraci nebo taxonomii popisku a je proto vhodný v této úvodní fázi nasazení.The scanner discovery mode doesn't require any label configuration or taxonomy, and is therefore suitable at this early stage of your deployment. Tuto konfiguraci skeneru můžete také paralelně použít pomocí následujících kroků nasazení, dokud neprovedete konfiguraci doporučených nebo automatických popisků.You can also use this scanner configuration in parallel with the following deployment steps, until you configure recommended or automatic labeling.

  2. Přizpůsobení výchozích zásad AIPCustomize the default AIP policy.

    Pokud ještě nemáte strategii klasifikace, použijte jako základ pro určení popisků potřebných pro vaše data výchozí zásady.If you don't have a classification strategy yet, use a default policy as a basis for determining which labels you'll need for your data. Tyto popisky můžete podle potřeby přizpůsobit podle svých potřeb.Customize these labels as needed to meet your needs.

    Můžete třeba změnit konfiguraci štítků s následujícími podrobnostmi:For example, you may want to reconfigure your labels with the following details:

    • Ujistěte se, že vaše štítky podporují vaše rozhodnutí o klasifikaci.Make sure that your labels support your classification decisions.
    • Konfigurace zásad pro ruční označování štítky uživateliConfigure policies for manual labeling by users
    • Napište pokyny pro uživatele, které vám pomůžou vysvětlit, který popisek se má v každém scénáři použít.Write user guidance to help explain which label should be applied in each scenario.
    • Pokud se vaše výchozí zásady vytvořily pomocí popisků, které automaticky aplikují ochranu, možná budete chtít při testování nastavení dočasně odebrat nastavení ochrany nebo zakázat tento popisek.If your default policy was created with labels that automatically apply protection, you may want to temporarily remove the protection settings or disable the label while you test your settings.

    Popisky citlivostí a zásady označování pro jednotný klient označování jsou nakonfigurované v Microsoft 365 Security Center, Microsoft 365 v centru dodržování předpisů nebo v centru pro dodržování předpisů Microsoft 365 Security &.Sensitivity labels and labeling policies for the unified labeling client are configured in the Microsoft 365 security center, Microsoft 365 compliance center, or the Microsoft 365 Security & Compliance Center. Další informace najdete v tématu informace o popisech citlivosti.For more information, see Learn about sensitivity labels.

  3. Nasazení klienta pro uživateleDeploy your client for your users

    Jakmile máte nakonfigurovanou zásadu, nasaďte klienta Azure Information Protection pro vaše uživatele.Once you have a policy configured, deploy the Azure Information Protection client for your users. Poskytněte školení uživatelů a konkrétní pokyny pro výběr popisků.Provide user training and specific instructions when to select the labels.

    Další informace najdete v příručce pro Správce klienta jednotného označování.For more information, see the unified labeling client administrator guide.

  4. Zavedení pokročilejších konfiguracíIntroduce more advanced configurations

    Počkejte, až budou vaši uživatelé lépe spokojeni s popisky svých dokumentů a e-mailů.Wait for your users to become more comfortable with labels on their documents and emails. Až budete připraveni, zaveďte pokročilou konfiguraci, například:When you're ready, introduce advanced configurations, such as:

    • Použití výchozích popiskůApplying default labels
    • Vyzvat uživatele k odůvodnění, pokud zvolili popisek s nižší úrovní klasifikace nebo odebrat popisekPrompting users for justification if they chose a label with a lower classification level or remove a label
    • Mandating, že všechny dokumenty a e-maily mají popisekMandating that all documents and emails have a label
    • Přizpůsobení záhlaví, zápatí nebo vodoznakůCustomizing headers, footers, or watermarks
    • Doporučené a automatické popiskyRecommended and automatic labeling

    Další informace najdete v tématu Příručka pro správce: vlastní konfigurace.For more information, see Admin Guide: Custom configurations.

    Tip

    Pokud jste nakonfigurovali popisky pro automatické označování, spusťte znovu Azure Information Protection skener v místních úložištích dat v režimu zjišťování a podle svých zásad.If you've configured labels for automatic labeling, run the Azure Information Protection scanner again on your local data stores in discovery mode and to match your policy.

    Při spuštění skeneru v režimu zjišťování se dozvíte, které popisky se použijí na soubory, což vám pomůže doladit konfiguraci popisku a připravit vás na hromadnou klasifikaci a ochranu souborů.Running the scanner in discovery mode tells you which labels would be applied to files, which helps you fine-tune your label configuration and prepares you for classifying and protecting files in bulk.

Příprava na ochranu datPrepare for data protection

Zaveďte ochranu dat pro citlivá data, když se uživatelé budou moci připravit na dokumenty a e-maily.Introduce data protection for your most sensitive data once users become comfortable labeling documents and emails.

Pro přípravu ochrany dat proveďte následující kroky:Perform the following steps to prepare for data protection:

  1. Určete, jak chcete klíč tenanta spravovat.Determine how you want to manage your tenant key.

    Rozhodněte, jestli chcete, aby vám klíč tenanta spravoval Microsoft (výchozí nastavení), nebo jestli si klíč tenanta budete chtít vygenerovat a spravovat sami (řešení BYOK, Bring Your Own Key).Decide whether you want Microsoft to manage your tenant key (the default), or generate and manage your tenant key yourself (known as bring your own key, or BYOK).

    Další informace a možnosti pro další místní ochranu najdete v tématu plánování a implementace klíče tenanta Azure Information Protection.For more information and options for additional, on-premises protection, see Planning and implementing your Azure Information Protection tenant key.

  2. Nainstalujte PowerShell pro AIP.Install PowerShell for AIP.

    Nainstalujte modul PowerShell pro AIPService aspoň na jednom počítači, který má přístup k Internetu.Install the PowerShell module for AIPService on at least one computer that has internet access. Tento krok můžete provést hned teď nebo i později.You can do this step now, or later.

    Další informace najdete v tématu Instalace modulu prostředí PowerShell pro AIPService.For more information, see Installing the AIPService PowerShell module.

  3. Pouze služba AD RMS: migrace klíčů, šablon a adres URL do cloudu.AD RMS only: Migrate your keys, templates, and URLs to the cloud.

    Pokud aktuálně používáte službu AD RMS, proveďte migraci k přesunutí klíčů, šablon a adres URL do cloudu.If you are currently using AD RMS, perform a migration to move the keys, templates, and URLs to the cloud.

    Další informace najdete v tématu Migrace z AD RMS na Information Protection.For more information, see Migrating from AD RMS to Information Protection.

  4. Aktivujte ochranu.Activate protection.

    Ujistěte se, že je služba ochrany aktivovaná, abyste mohli začít chránit dokumenty a e-maily.Make sure that the protection service is activated so that you can begin to protect documents and emails. Pokud nasazujete v několika fázích, nakonfigurujte ovládací prvky připojování uživatelů, aby se omezila možnost přístupu uživatelů k používání ochrany.If you're deploying in multiple phases, configure user onboarding controls to restrict users' ability to apply protection.

    Další informace najdete v tématu Aktivace služby ochrany z Azure Information Protection.For more information, see Activating the protection service from Azure Information Protection.

  5. Zvažte protokolování využití (volitelné).Consider usage logging (optional).

    Zvažte použití protokolování a sledujte, jak vaše organizace používá službu ochrany.Consider logging usage to monitor how your organization is using the protection service. Tento krok můžete provést hned teď nebo i později.You can do this step now, or later.

    Další informace najdete v tématu protokolování a analýza využití ochrany z Azure Information Protection.For more information, see Logging and analyzing the protection usage from Azure Information Protection.

Konfigurace popisků a nastavení, aplikací a služeb pro ochranu datConfigure labels and settings, applications, and services for data protection

Proveďte tyto kroky:Perform the following steps:

  1. Aktualizace štítků pro použití ochranyUpdate your labels to apply protection

    Další informace najdete v tématu omezení přístupu k obsahu pomocí šifrování v popisech citlivosti.For more information, see Restrict access to content by using encryption in sensitivity labels.

    Důležité

    Uživatelé můžou použít popisky v Outlooku, které platí Rights Management Protection i v případě, že Exchange není nakonfigurované pro správu přístupových práv k informacím (IRM).Users can apply labels in Outlook that apply Rights Management protection even if Exchange is not configured for information rights management (IRM).

    Dokud však Exchange není nakonfigurované pro IRM nebo Microsoft 365 šifrování zpráv novými funkcemi, nebude mít vaše organizace plnou funkčnost používání Azure Rights Management Protection se systémem Exchange.However, until Exchange is configured for IRM or Microsoft 365 Message Encryption with new capabilities, your organization will not get the full functionality of using Azure Rights Management protection with Exchange. Tato další konfigurace je součástí následujícího seznamu (kroku 2 u Exchange Online a kroku 5 u místního Exchange).This additional configuration is included in the following list (2 for Exchange Online, and 5 for Exchange on-premises).

  2. Konfigurace aplikací a služeb OfficeConfigure Office applications and services

    Konfigurace aplikací a služeb Office pro funkce IRM (Správa přístupových práv k informacím) v Microsoft SharePointu nebo Exchange Online.Configure Office applications and services for the information rights management (IRM) features in Microsoft SharePoint or Exchange Online.

    Další informace najdete v tématu Konfigurace aplikací pro Azure Rights Management.For more information, see Configuring applications for Azure Rights Management.

  3. Konfigurace funkce superuživatele za účelem obnovení datConfigure the super user feature for data recovery

    Pokud máte existující služby IT, které potřebují kontrolovat soubory, které Azure Information Protection chránit, jako je například řešení ochrany před únikem informací (DLP), brány šifrování obsahu (CEG) a antimalwarové produkty – konfigurujte účty služeb tak, aby byly pro Azure Rights Management Super uživatelé.If you have existing IT services that need to inspect files that Azure Information Protection will protect—such as data leak prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products—configure the service accounts to be super users for Azure Rights Management.

    Další informace najdete v tématu Konfigurace superuživatelů pro Azure Information Protection a služby zjišťování nebo obnovení dat.For more information, see Configuring super users for Azure Information Protection and discovery services or data recovery.

  4. Hromadná klasifikace a ochrana stávajících souborůClassify and protect existing files in bulk

    U místních úložišť dat teď spusťte Azure Information Protection skener v režimu vynucení, aby se soubory automaticky popsány.For your on-premises data stores, now run the Azure Information Protection scanner in enforcement mode so that files are automatically labeled.

    Pro soubory na počítačích použijte rutiny prostředí PowerShell ke klasifikaci a ochraně souborů.For files on PCs, use PowerShell cmdlets to classify and protect files. Další informace najdete v tématu použití PowerShellu s klientem Azure Information Protection Unified labeling.For more information, see Using PowerShell with the Azure Information Protection unified labeling client.

    Pro cloudová úložiště dat použijte Azure Cloud App Security.For cloud-based data stores, use Azure Cloud App Security.

    Tip

    Zatímco při hromadné klasifikaci a ochraně existujících souborů není k dispozici jeden z hlavních případů použití Cloud App Security, popsaná alternativní řešení vám pomůžou získat soubory klasifikované a chráněné.While classifying and protecting existing files in bulk is not one of the main use cases for cloud app security, documented workarounds can help you get your files classified and protected.

  5. Nasazení konektoru pro knihovny chráněné technologií IRM na SharePointovém serveru a e-maily chráněné IRM pro místní ExchangeDeploy the connector for IRM-protected libraries on SharePoint Server, and IRM-protected emails for Exchange on-premises

    Pokud máte SharePoint a místní Exchange a chcete používat funkce IRM (Správa přístupových práv k informacím), nainstalujte a nakonfigurujte konektor Rights Management.If you have SharePoint and Exchange on-premises and want to use their information rights management (IRM) features, install and configure the Rights Management connector.

    Další informace najdete v tématu Nasazení konektoru Azure Rights Management.For more information, see Deploying the Azure Rights Management connector.

Použití a sledování řešení ochrany datUse and monitor your data protection solutions

Teď jste připraveni monitorovat, jak vaše organizace používá popisky, které jste nakonfigurovali, a ověřit, že chráníte citlivé informace.You're now ready to monitor how your organization is using the labels that you've configured and confirm that you're protecting sensitive information.

Další informace najdete na následujících stránkách:For more information, see the following pages:

Podle potřeby Spravujte službu ochrany pro váš účet tenanta.Administer the protection service for your tenant account as needed

Když začnete používat službu ochrany, můžete najít prostředí PowerShell užitečné k usnadnění skriptu nebo automatizaci administrativních změn.As you begin to use the protection service, you might find PowerShell useful to help script or automate administrative changes. V některých pokročilých konfiguracích může být potřeba i PowerShell.PowerShell might also be needed for some of the advanced configurations.

Další informace najdete v tématu Správa ochrany z Azure Information Protection pomocí prostředí PowerShell.For more information, see Administering protection from Azure Information Protection by using PowerShell.

Odkazy na klasické klientské prostředíReferences for classic client environments

Relevantní pro: jenom klasického klienta AIPRelevant for: AIP classic client only

Pokud používáte klasického klienta, použijte následující odkazy místo výše uvedených odkazů:If you're using the classic client, use the following references instead of those linked above:

Tip

Možná vás zajímá také plán nasazení Azure Information Protection jenom pro ochranu, který se podporuje jenom pro klasického klienta.You may also be interested in the Azure Information Protection deployment roadmap for protection only, which is supported for the classic client only.

Další krokyNext steps

Při nasazení Azure Information Protection může být užitečné najít Nejčastější dotazy, známé problémya stránku informace a podpora pro další zdroje informací.As you deploy Azure Information Protection, you might find it helpful to check the frequently asked questions, known issues, and the information and support page for additional resources.