Časté otázky k Azure Information Protection (AIP)
Platí pro:Azure Information Protection, Office 365
Relevantní pro:AIP unified labeling client and classic client
Poznámka:
Pro zajištění jednotného a efektivnějšího uživatelského prostředí je klasický klient Azure Information Protection a správa štítků na portálu Azure Portal zastaralé od 31. března 2021. Pro klasické klienty už není poskytována žádná další podpora a verze údržby už nebudou vydány.
Klasický klient bude oficiálně vyřazen a přestane fungovat 31. března 2022.
Všichni stávající zákazníci klasického klienta Azure Information Protection musí migrovat na Microsoft Information Protection jednotné platformy pro označování a upgradovat na klienta jednotného označování štítků. Další informace najdete v našem blogu o migraci.
Máte dotaz k Azure Information Protection (AIP) nebo ke službě Azure Rights Management (Azure RMS)?
Podívejte se, jestli je odpověď zodpovězena pod nebo na dalších, konkrétnějších stránkách s častými dotazy.
Jaký je rozdíl mezi Azure Information Protection a Microsoft Information Protection?
Na rozdíl od Azure Information Protection Microsoft Information Protection není předplatné ani produkt, který si můžete koupit. Místo toho je to rámec pro produkty a integrované funkce, které vám pomůžou chránit citlivé informace vaší organizace.
Microsoft Information Protection patří:
- Azure Information Protection
- Microsoft 365 ochrany informací, jako je Microsoft 365 DLP
- Windows ochrany informací
- Microsoft Defender pro cloudové aplikace
Microsoft Information Protection možnosti patří:
- Sjednocená správa štítků
- Možnosti označování koncových uživatelů integrované v Office aplikacích
- Schopnost společnosti Windows pochopit jednotné popisky a použít ochranu dat
- Sada Microsoft Information Protection SDK
- Funkce v Aplikaci Adobe Acrobat Reader pro zobrazení souborů PDF s popisky a chráněných souborů PDF
Další informace najdete v článku Možnosti ochrany informací, které pomáhají chránit vaše citlivá data.
Jaký je rozdíl mezi popisky v Microsoft 365 a popisky v Azure Information Protection?
Původně měl Microsoft 365 jenom popisky uchovávání informací, které vám umožnily klasifikovat dokumenty a e-maily pro auditování a uchovávání informací, když byl tento obsah uložený v Microsoft 365 službách.
Naproti tomu popisky Azure Information Protection nakonfigurované v době použití klasického klienta AIP na portálu Azure Portal vám umožnily používat konzistentní zásady klasifikace a ochrany dokumentů a e-mailů bez ohledu na to, jestli byly uložené místně nebo v cloudu.
Microsoft 365 podporuje popisky citlivosti kromě štítků uchovávání informací. Popisky citlivosti můžete vytvořit a nakonfigurovat v Centrum dodržování předpisů Microsoftu 365.
Pokud máte na portálu Azure Portal nakonfigurované starší popisky AIP, doporučujeme je migrovat na popisky citlivosti a jednotného klienta štítků. Další informace najdete v tématu Kurz: Migrace z klasického klienta Azure Information Protection (AIP) na klienta jednotného označování.
Další informace najdete v článku Oznámení o dostupnosti funkcí ochrany informací, které pomáhají chránit vaše citlivá data.
Jak můžu zjistit, jestli je můj tenant na jednotné platformě štítků?
Když je váš tenant na jednotné platformě pro označování štítků, podporuje popisky citlivosti, které mohou používat klienti a služby, které podporují jednotné označování štítků. Pokud jste získali předplatné Azure Information Protection v červnu 2019 nebo novějším, je váš tenant automaticky na jednotné platformě pro označování štítků a není potřeba nic dalšího provést. Váš tenant může být taky na této platformě, protože někdo migroval vaše popisky Azure Information Protection.
Pokud váš tenant není na jednotné platformě pro označování štítků, zobrazí se na portálu Azure Portal v podoknech Azure Information Protection následující informační nápis:
Můžete to taky zkontrolovat tak, že se v Azure Information Protectionspraví jednotné označování a zobrazí se stav jednotného označování:
| Stav | Popis |
|---|---|
| Aktivované | Váš tenant je na jednotné platformě pro označování. Popisky můžete vytvářet, konfigurovat a publikovat z Centrum dodržování předpisů Microsoftu 365. |
| Neaktivované | Váš tenant není na jednotné platformě pro označování. Pokyny a pokyny k migraci najdete v tématu Migrace štítků Azure Information Protection na popisky sjednocené citlivosti. |
Jaký je rozdíl mezi klasickými a jednotnými klienty štítků Azure Information Protection?
Starší klient Azure Information Protection, označované jako klasický klient, stáhne popisky a nastavení zásad z Azure a umožní vám nakonfigurovat zásady AIP z portálu Azure Portal.
Sjednocený klient pro označování je nejnovějším klientem s nejnovějšími aktualizacemi a podporuje jednotnou platformu pro označování, kterou používají více aplikací a služeb. Sjednocený klient pro označování stáhne popisky citlivosti a nastavení zásad z Centrum dodržování předpisů Microsoftu 365.
Pokud jste správce, přečtěte si další informace v části Volba řešení Windows štítků.
Classic client deprecation
Klasický klient Azure Information Protection a správa štítků na portálu Azure portal jsou zastaralé k 31. březnu 2021.
Klient bude dál fungovat podle očekávání, ale správci nemohou aktualizovat zásady na portálu a pro klasického klienta nebudou poskytnuty žádné další opravy ani změny.
Doporučujeme migrovat do jednotného označování a upgradovat na klienta jednotného označování štítků. Další informace najdete v naší nedávné aktualizaci o odpisu.
Další informace najdete v tématu Jak migrovat popisky Azure Information Protection na popisky sjednocené citlivosti.
Určení nainstalovaného klienta
Pokud jste uživatel, který chce pochopit, jestli máte nainstalovaného klasického nebo jednotného klienta pro označování štítků, můžete udělat jednu z těchto akcí:
V Office aplikacích zkontrolujte, že jste na tlačítku panelu nástrojů Citlivost nebo Zamknout. Klient s jednotným popiskem zobrazuje tlačítko Citlivost, zatímco klasický
klient zobrazuje tlačítko Zamknout.Zkontrolujte číslo verze aplikace Azure Information Protection, kterou jste nainstalovali.
- Verze 1.x označují, že máte klasického klienta. Příklad: 1.54.59.0
- Verze 2.x označují, že máte jednotného klienta pro označování štítků. Příklad: 2.8.85.0
Například v oblasti Windows Nastavení aplikace a funkce přejděte dolů k aplikaci Microsoft Azure Information Protection a zkontrolujte číslo verze.
Kdy je správný čas migrovat štítky na jednotné označování?
Doporučujeme migrovat štítky Azure Information Protection do jednotné platformy štítků, abyste je mohli používat jako popisky citlivosti s jinými klienty a službami, které podporují jednotné označování štítků.
Další informace a pokyny najdete v tématu Jak migrovat popisky Azure Information Protection na popisky sjednocené citlivosti.
Po migraci štítků na jednotné označování, který portál pro správu používám?
Po migraci štítků na portálu Azure Portal je dál spravujte v jednom z následujících umístění v závislosti na klientech, které jste nainstalovali:
| Klient | Popis |
|---|---|
| Unified labeling clients and services only | Pokud máte nainstalované jenom sjednocené klienty štítků, spravujte štítky v Centrum dodržování předpisů Microsoftu 365, kde si sjednocení klienti štítků stahují štítky a jejich nastavení zásad. Pokyny najdete v tématu Vytvoření a konfigurace popisků citlivostia jejich zásad. |
| Jenom klasický klient | Pokud jste migroval(a) štítky, ale pořád máte nainstalovaného klasického klienta, pokračujte v úpravách popisků a nastavení zásad pomocí portálu Azure Portal. Klasický klient dál stahuje popisky a nastavení zásad z Azure. |
| Klasický klient AIP i sjednocení klienti popisků | Pokud máte oba klienty nainstalované, proveďte změny štítků pomocí Centrum dodržování předpisů Microsoftu 365 nebo portálu Azure Portal. Pokud chcete, aby klasickí klienti brali změny štítků provedené v Centrum dodržování předpisů Microsoftu 365, vraťte se na portál Azure portal a publikujte je. V podokně Azure Information Protection – jednotné označování na portálu Azure >> vyberte Publikovat. Pokračujte v používání portálu Azure portal pro centrální vytváření sestav a skener. |
Musím soubory po přechodu na popisky citlivosti a jednotné platformy štítků znovu šifrovat?
Ne, po migraci z klasického klienta AIP a štítků spravovaných na portálu Azure portal nemusíte soubory znovu šifrovat.
Po migraci spravujte štítky a zásady označování z Centrum dodržování předpisů Microsoftu 365.
Další informace najdete v článku Informace o popiscích citlivosti v Microsoft 365 a v blogu Principy migrace sjednocených štítků.
Jaký je rozdíl mezi Azure Information Protection a Azure Rights Managementem?
Azure Information Protection (AIP) poskytuje klasifikaci, označování a ochranu dokumentů a e-mailů organizace.
Obsah je chráněný pomocí služby Azure Rights Management, která je teď součástí programu AIP.
Další informace najdete v tématu Jak AIP chrání vaše data a Co je Azure Rights Management?.
Jaká je role správy identit pro Azure Information Protection?
Správa identit je důležitou součástí AIP, protože uživatelé musí mít platné uživatelské jméno a heslo pro přístup k chráněnému obsahu.
Další informace o tom, jak Azure Information Protection pomáhá zabezpečit vaše data, najdete v tématu Role Azure Information Protection při zabezpečení dat.
Jaké předplatné potřebuji pro Azure Information Protection a jaké funkce jsou součástí?
Další informace o předplatných AIP najdete v tématu:
- Microsoft 365 pokyny k licencování dodržování předpisů v oblasti zabezpečení
- Porovnání moderních pracovních tarifů (stažení PDF)
Potřebujete být globálním správcem pro konfiguraci Azure Information Protection nebo můžu delegovat na jiné správce?
Globální správci pro Microsoft 365 nebo tenanta Azure AD můžou samozřejmě spouštět všechny úkoly správy pro Azure Information Protection.
Pokud ale chcete přiřadit oprávnění správce jiným uživatelům, proveďte to pomocí následujících rolí:
- Správce Azure Information Protection
- Správce dodržování předpisů nebo správce dat dodržování předpisů
- Čtečka zabezpečení nebo globální čtečka
- Správce zabezpečení
- Globální správce Azure Rights Management a správce konektoru
Při správě úkolů a rolí správy si navíc všimněte následujícího:
| Problém | Podrobnosti |
|---|---|
| Podporované typy účtů | Účty Microsoft nejsou podporované pro delegovanou správu Azure Information Protection, a to ani v případě, že jsou tyto účty přiřazeny k jedné z uvedených rolí pro správu. |
| Ovládací prvky pro zasouvání | Pokud jste nakonfigurovali ovládacíprvky pro připojení, nemá tato konfigurace vliv na možnost správy Azure Information Protection, s výjimkou konektoru RMS. Pokud jste například nakonfigurovali ovládací prvky pro připojení, aby byla možnost ochrany obsahu omezena na skupinu ODDĚLENÍ IT, musí být účet použitý k instalaci a konfiguraci konektoru služby RMS členem této skupiny. |
| Odebrání ochrany | Správci nemohou automaticky odebrat ochranu před dokumenty nebo e-maily chráněnými službou Azure Information Protection. Ochranu mohou odebrat jenom uživatelé, kteří jsou přiřazeni jako superušivatelé, a to jenom v případě, že je povolená funkce superu ivatele. Každý uživatel s oprávněními správce k Azure Information Protection může povolit funkci super uživatelského účtu a přiřadit uživatele jako super uživatele, včetně vlastního účtu. Tyto akce se zaznamenávají do protokolu správce. Další informace najdete v části Doporučené postupy zabezpečení v tématu Konfigurace super uživatelů pro Azure Information Protection a služby zjišťování nebo obnovení dat. Tip:Pokud je obsah uložený v SharePoint nebo OneDrive, mohou správci spustit rutinu Unlock-SensitivityLabelEncryptedFile a odebrat popisek citlivosti i šifrování. Další informace najdete v Microsoft 365 dokumentaci. |
| Migrace do jednotného úložiště štítků | Pokud migrujete štítky Azure Information Protection do jednotného úložiště štítků, přečtěte si následující část v dokumentaci k migraci štítků: Role správy, které podporují sjednocenou platformu štítků. |
Správce Azure Information Protection
Tato Azure Active Directory správce umožňuje správci nakonfigurovat Azure Information Protection, ale ne jiné služby.
Správci s touto rolí můžou:
- Aktivace a deaktivace služby Azure Rights Management protection
- Konfigurace nastavení a štítků ochrany
- Konfigurace zásad Azure Information Protection
- Spuštění všech rutin PowerShellu pro klienta Azure Information Protection a z modulu AIPService
Informace o přiřazení uživatele k této roli správy najdete v tématu Přiřazení uživatele rolímsprávce v Azure Active Directory .
Poznámka:
Tato role není na portálu Azure Portal podporovaná, pokud je váš tenant na jednotné platformě pro označování.
Správce dodržování předpisů nebo správce dat dodržování předpisů
Tyto Azure Active Directory správce umožňují správcům:
- Konfigurace Azure Information Protection, včetně aktivace a deaktivace služby Azure Rights Management Protection
- Konfigurace nastavení a štítků ochrany
- Konfigurace zásad Azure Information Protection
- Spusťte všechny rutiny PowerShellu pro klienta Azure Information Protection a z modulu AIPService.
Informace o přiřazení uživatele k této roli správy najdete v tématu Přiřazení uživatele rolímsprávce v Azure Active Directory .
Další oprávnění, která má uživatel s těmito rolemi, najdete v části Dostupné role v Azure Active Directory dokumentaci.
Poznámka:
Tyto role nepodporují sledování a odvolání dokumentů pro uživatele.
Čtečka zabezpečení nebo globální čtečka
Tyto role se používají jenom pro analýzu Azure Information Protection a umožňují správcům:
- Zobrazení způsobu použití štítků
- Sledování přístupu uživatelů k označeným dokumentům a e-mailům
- Zobrazení změn provedených v klasifikaci
- Identifikace dokumentů, které obsahují citlivé informace, které musí být chráněné
Vzhledem k tomu, že tato funkce používá Azure Monitor, musíte mít také podpůrnou roli RBAC.
Správce zabezpečení
Tato Azure Active Directory správce umožňuje správcům nakonfigurovat Azure Information Protection na portálu Azure Portal a některé aspekty dalších služeb Azure.
Správci s touto rolí nemohou spustit žádnou rutinu PowerShellu z modulu AIPServiceani sledovat a odvolat dokumenty pro uživatele.
Informace o přiřazení uživatele k této roli správy najdete v tématu Přiřazení uživatele rolímsprávce v Azure Active Directory .
Další oprávnění, která má uživatel s touto rolí, najdete v části Dostupné role v Azure Active Directory dokumentaci.
Globální správce Azure Rights Management a správce konektoru
Role globálního správce umožňuje uživatelům spouštět všechny rutiny PowerShellu z modulu AIPService, aniž by z nich byl globální správce pro jiné cloudové služby.
Role Správce konektoru umožňuje uživatelům spouštět jenom konektor Rms (Rights Management).
Tyto role správy neudělí oprávnění konzolám pro správu. Role Správce konektoru také nepodporuje sledování a odvolání dokumentů pro uživatele.
Pokud chcete přiřadit některou z těchto rolí pro správu, použijte rutinu AIPService PowerShell Add-AipServiceRoleBasedAdministrator.
Podporuje Azure Information Protection místní a hybridní scénáře?
Ano. I když je Azure Information Protection cloudové řešení, může klasifikovat, označovat a zamknout dokumenty a e-maily uložené místně i v cloudu.
Pokud máte Exchange Server, SharePoint Server a Windows, použijte jednu nebo obě následující metody:
- Nasaďte konektor Rights Management, aby tyto místní servery používejte službu Azure Rights Management k ochraně vašich e-mailů a dokumentů.
- Synchronizujte a federujte řadiče domény služby Active Directory s Azure AD, aby uživatelé snadnoji řeštou ověřování. Můžete třeba použít Azure AD Připojení.
Služba Azure Rights Management automaticky vygeneruje a spravuje certifikáty XrML podle potřeby, takže nebude používat místní pki.
Další informace o tom, jak Azure Rights Management používá certifikáty, najdete v tématu Návod, jak Azure RMS funguje: První použití, ochrana obsahu, spotřeba obsahu.
Jaké typy dat může Azure Information Protection klasifikovat a chránit?
Azure Information Protection může klasifikovat a chránit e-mailové zprávy a dokumenty, ať už jsou umístěné místně nebo v cloudu. Mezi tyto dokumenty patří wordové dokumenty, Excel tabulky, PowerPoint prezentace, dokumenty PDF, textové soubory a soubory obrázků.
Další informace najdete v článku o podporovaných typech souborů s úplným seznamem.
Poznámka:
Azure Information Protection nemůže klasifikovat a chránit strukturovaná data, jako jsou soubory databáze, položky kalendáře, Yammer příspěvky, obsah Swaye a OneNote poznámkové bloky.
Tip
Power BI podporuje klasifikaci pomocí popisků citlivosti a může použít ochranu před těmito popisky u dat exportovaných do následujících formátů souborů: .pdf, .xls a .ppt. Další informace najdete v tématu Ochrana dat v Power BI.
Vidím, že Azure Information Protection je uvedená jako dostupná cloudová aplikace pro podmíněný přístup – jak to funguje?
Ano, jako nabídku Preview můžete nakonfigurovat podmíněný přístup Azure AD pro Azure Information Protection.
Když uživatel otevře dokument chráněný službou Azure Information Protection, můžou teď správci blokovat nebo udělit přístup uživatelům v tenantovi na základě standardních ovládacích prvků podmíněného přístupu. Vyžadování vícefaktorového ověřování (MFA) je jednou z nejčastěji požadovaných podmínek. Dalším z nich je, že zařízení musí být v souladu se zásadami Intune, aby například mobilní zařízení splňovala požadavky na heslo a minimální verzi operačního systému a počítače musí být připojené k doméně.
Další informace a některé příklady najdete v následujícím blogovém příspěvku: Zásady podmíněného přístupu pro Azure Information Protection.
Další informace:
| Téma | Podrobnosti |
|---|---|
| Četnost vyhodnocování | U Windows počítačů a aktuální verze Preview se zásady podmíněného přístupu pro Azure Information Protection vyhodnocují při inicializaci uživatelského prostředí (tento proces se taky označuje jako bootstrapping) a pak každých 30 dní. Pokud chcete doladit, jak často se vyhodnocují zásady podmíněného přístupu, nakonfigurujte životnost tokenu. |
| Účty správce | Doporučujeme nepřidát do zásad podmíněného přístupu účty správce, protože tyto účty nebudou mít přístup k podokně Azure Information Protection na portálu Azure Portal. |
| Spolupráce MFA a B2B | Pokud v zásadách podmíněného přístupu používáte MFA pro spolupráci s jinými organizacemi (B2B), musíte použít spolupráci Azure AD B2B a vytvořit účty hostů pro uživatele, se které chcete sdílet v jiné organizaci. |
| Výzvy k podmínkám použití | Ve verzi Preview azure AD z prosince 2018 teď můžete vyzvat uživatele, aby přijali podmínky použití, než poprvé otevřou chráněný dokument. |
| Cloudové aplikace | Pokud používáte mnoho cloudových aplikací pro podmíněný přístup, Microsoft Azure v seznamu zobrazená ochrana informací. V takovém případě použijte vyhledávací pole v horní části seznamu. Začněte psát "Microsoft Azure Information Protection" a vyfiltrujte dostupné aplikace. Pokud máte podporované předplatné, zobrazí se Microsoft Azure informace. |
Poznámka:
Podpora Azure Information Protection pro podmíněný přístup je momentálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo jinak ještě nejsou vydané do obecné dostupnosti.
Vidím, že Azure Information Protection je uvedený jako poskytovatel zabezpečení pro Microsoft Graph Security – jak to funguje a jaká upozornění obdržím?
Ano, jako veřejná nabídka ve verzi Preview teď můžete dostat upozornění na neomasnýpřístup k datům v Azure Information Protection. Toto upozornění se aktivuje, když dojde k neobvyklým pokusům o přístup k datům chráněným službou Azure Information Protection. Například přístup k neobvykle vysokému objemu dat, v neobvyklou denní dobu nebo k přístupu z neznámého umístění.
Tato upozornění vám můžou pomoct zjistit pokročilé útoky související s daty a hrozby insider ve vašem prostředí. Tato upozornění používají strojové učení k profilování chování uživatelů, kteří mají přístup k chráněným datům.
K upozorněním Azure Information Protection se dostanete pomocí rozhraní Microsoft Graph Security APInebo můžete streamovat upozornění do řešení SIEM, jako je Splunk nebo IBM Qradar, pomocí Azure Monitoru.
Další informace o rozhraní Microsoft Graph Security API najdete v tématu Přehled rozhraní Microsoft Graph Security API.
Poznámka:
Podpora Azure Information Protection pro Microsoft Graph Security je momentálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo jinak ještě nejsou vydané do obecné dostupnosti.
Slyšel(a) jsem, že nová verze bude brzy dostupná pro Azure Information Protection – kdy bude vydána?
Technická dokumentace neobsahuje informace o nadcházejících verzích. Pro tento typ informací použijte plán Microsoft 365.
Je Azure Information Protection vhodná pro mou zemi?
Různé země mají různé požadavky a předpisy. Pokud vám chcete pomoct odpovědět na tuto otázku pro vaši organizaci, podívejte se na informace v tématu Vhodnost pro různé země.
Jak může Azure Information Protection pomoct s GDPR?
Poznámka:
Pokud máte zájem o zobrazení nebo odstranění osobních údajů, přečtěte si prosím pokyny Microsoftu ve Správci dodržování předpisů společnosti Microsoft a v oddílu GDPR na webu Microsoft 365 Enterprise dodržování předpisů. Pokud hledáte obecné informace o GDPR, podívejte se na oddíl GDPR na portálu Service Trust Portal.
Kde najdu podpůrné informace pro Azure Information Protection , jako jsou právní předpisy, dodržování předpisů a smlouvy SLA?
Podívejte se na informace o dodržování předpisů a podpůrných informací pro Azure Information Protection.
Jak můžu nahlásit problém nebo poslat svůj názor na Azure Information Protection?
Pokud chcete technickou podporu, použijte standardní kanály podpory nebo kontaktujte podporu Microsoftu.
Zveme vás také, abyste se zapojili do našeho inženýrského týmu na jejich webu Azure Information Protection Yammer webu.
Co mám dělat, když tady moje otázka není?
Nejdřív si prohlédněte níže uvedené časté otázky, které jsou specifické pro klasifikaci a označování nebo specifické pro ochranu dat. Služba Azure Rights Management (Azure RMS) poskytuje technologii ochrany dat pro Azure Information Protection. Azure RMS se může používat s klasifikací a popisky nebo sama o sobě.
Pokud na vaši otázku neodpověděli, podívejte se na odkazy a materiály uvedené v tématu Informace a podpora Azure Information Protection.