Azure Information Protection (AIP) etykietowanie, klasyfikacja i ochrona

Dotyczy: Azure Information Protection

Istotne dla programu : Azure Information Protection ujednoliconego klienta etykietowania i klienta klasycznego dla Windows

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Azure Information Protection (AIP) to rozwiązanie oparte na chmurze, które umożliwia organizacjom klasyfikowanie i ochronę dokumentów i wiadomości e-mail przez stosowanie etykiet.

Administrator może na przykład skonfigurować etykietę z regułami wykrywania poufnych danych, takich jak informacje o kartach kredytowych. W takim przypadku każdy użytkownik, który zapisuje informacje o karcie kredytowej w pliku programu Word, może zobaczyć etykietkę narzędzia w górnej części dokumentu z zaleceniem zastosowania odpowiedniej etykiety dla tego scenariusza.

Etykiety mogą klasyfikowaći opcjonalnie chronić dokumenty, co umożliwia:

  • Śledzenie i kontrolowanie sposobu, w jaki jest używana zawartość
  • Analizowanie przepływów danych w celu uzyskania wglądu w działalność biznesową — wykrywanie ryzykownych zachowań i działanie naprawcze
  • Śledzenie dostępu do dokumentów i zapobieganie wyciekowi danych lub niewłaściwemu użyciu
  • I nie tylko...

Jak etykiety stosują klasyfikację za pomocą programu AIP

Etykietowanie zawartości za pomocą programu AIP obejmuje:

  • Klasyfikacja, którą można wykryć niezależnie od miejsca przechowywania danych lub osoby, której dane są udostępniane.
  • Oznaczenia wizualne, takie jak nagłówki, stopki lub znaki wodne.
  • Metadane, dodane do plików i nagłówków wiadomości e-mail w tekście jednoznacznie. Metadane jednoznacznie tekstu zapewniają, że inne usługi mogą zidentyfikować klasyfikację i podjąć odpowiednie działania

Na przykład na poniższej ilustracji etykiety sklasyfikowały wiadomość e-mail jako Ogólne:

Przykładowa stopka wiadomości e-mail i nagłówki z Azure Information Protection klasyfikacji

W tym przykładzie etykieta zawiera również:

  • Do wiadomości e-mail dodano stopkę Czułość: Ogólne. Ta stopka jest wizualnym wskaźnikiem dla wszystkich adresatów, że jest przeznaczona dla ogólnych danych biznesowych, które nie powinny być wysyłane poza organizację.
  • Osadzone metadane w nagłówkach wiadomości e-mail. Dane nagłówka umożliwiają usługom poczty e-mail inspekcję etykiety i teoretycznie utworzenie wpisu inspekcji lub uniemożliwić wysyłanie jej poza organizację.

Etykiety mogą być stosowane automatycznie przez administratorów przy użyciu reguł i warunków, ręcznie przez użytkowników lub za pomocą kombinacji, w której administratorzy definiują zalecenia wyświetlane użytkownikom.

Jak aIP chroni dane

Azure Information Protection chroni dane przy użyciu usługi Azure Rights Management Service (Azure RMS).

Azure RMS jest zintegrowana z innymi usługami i aplikacjami firmy Microsoft w chmurze, takimi jak Office 365 i Azure Active Directory, i może być również używana z aplikacjami i rozwiązaniami do ochrony informacji oraz aplikacjami innych firm. Azure RMS współpracuje zarówno z rozwiązaniami lokalnymi, jak i w chmurze.

Azure RMS używa zasad szyfrowania, tożsamości i autoryzacji. Podobnie jak w przypadku etykiet usługi AIP, ochrona zastosowana przy użyciu usługi Azure RMS pozostaje z dokumentami i wiadomościami e-mail, niezależnie od lokalizacji dokumentu lub wiadomości e-mail, zapewniając kontrolę nad zawartością nawet wtedy, gdy jest ona udostępniana innym osobom.

Ustawienia ochrony mogą być:

  • Część konfiguracji etykiety, dzięki czemu użytkownicy mogą klasyfikować i chronić dokumenty i wiadomości e-mail po prostu stosując etykietę.

  • Używane samodzielnie przez aplikacje i usługi, które obsługują ochronę, ale nie etykietowanie.

    W przypadku aplikacji i usług, które obsługują tylko ochronę, ustawienia ochrony są używane jako Rights Management szablonów.

Na przykład można skonfigurować raport lub arkusz kalkulacyjny prognozy sprzedaży, aby był on dostępny tylko dla osób w organizacji. W takim przypadku należy zastosować ustawienia ochrony, aby kontrolować, czy można edytować ten dokument, ograniczyć go do odczytu lub uniemożliwić jego wydrukowanie.

Wiadomości e-mail mogą mieć podobne ustawienia ochrony, aby zapobiec przekazywaniu dalej lub używaniu opcji Odpowiedz wszystkim.

Rights Management szablonów

Po aktywowaniu usługi Azure Rights Management dostępne są dwa domyślne szablony zarządzania prawami w celu ograniczenia dostępu do danych do użytkowników w organizacji. Użyj tych szablonów natychmiast lub skonfiguruj własne ustawienia ochrony, aby zastosować bardziej restrykcyjne kontrolki w nowych szablonach.

Rights Management szablonów można używać z dowolnymi aplikacjami lub usługami, które obsługują usługę Azure Rights Management.

Na poniższej ilustracji przedstawiono przykład z centrum administracyjnego Exchange, w którym można skonfigurować reguły przepływu poczty Exchange Online do korzystania z szablonów usługi RMS:

Przykład wybierania szablonów dla usługi Exchange Online

Uwaga

Utworzenie etykiety usługi AIP, która zawiera ustawienia ochrony, powoduje również utworzenie odpowiedniego Rights Management szablonu, który może być używany oddzielnie od etykiety.

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Rights Management?

Integracja usług AIP i użytkowników końcowych z dokumentami i wiadomościami e-mail

Klient usługi AIP instaluje pasek Information Protection aplikacji Office i umożliwia użytkownikom końcowych integrację usługi AIP z dokumentami i wiadomościami e-mail.

Na przykład w Excel:

Przykład przedstawiający pasek usługi Azure Information Protection w programie Excel

Etykiety można stosować automatycznie do dokumentów i wiadomości e-mail, usuwając zgadywanie użytkowników lub zgodność z zasadami organizacji, jednak pasek Information Protection umożliwia użytkownikom końcowemu wybieranie etykiet i stosowanie klasyfikacji samodzielnie.

Ponadto klient usługi AIP umożliwia użytkownikom klasyfikowanie i ochronę dodatkowych typów plików lub wielu plików jednocześnie przy użyciu menu dostępnego po kliknięciu prawym przyciskiem myszy w Windows Eksplorator plików. Na przykład:

Kliknięcie prawym przyciskiem myszy w oknie Eksploratora plików — klasyfikowanie i ochrona za pomocą usługi Azure Information Protection

Opcja menu Klasyfikuj i chroń działa podobnie do paska Information Protection aplikacji Office, umożliwiając użytkownikom wybranie etykiety lub ustawienie uprawnień niestandardowych.

Porada

Użytkownicy lub administratorzy mogą dowiedzieć się, że polecenia programu PowerShell są wydajniejsze w zarządzaniu i ustawianiu klasyfikacji i ochrony wielu plików. Odpowiednie polecenia programu PowerShell są dołączone do klienta i można je również instalować oddzielnie.

Użytkownicy i administratorzy mogą używać witryn śledzenia dokumentów do monitorowania chronionych dokumentów, obserwowania, kto i kiedy uzyskuje do nich dostęp. W przypadku podejrzenia nieprawidłowego użycia użytkownicy mogą również odwołać dostęp do tych dokumentów. Na przykład:

Ikona funkcji Odwołaj dostęp w witrynie śledzenia dokumentów

Dodatkowa integracja z pocztą e-mail

Korzystanie z usługi AIP Exchange Online zapewnia dodatkową korzyść wysyłania chronionych wiadomości e-mail do dowolnego użytkownika z gwarancją, że będzie on w stanie odczytać go na dowolnym urządzeniu.

Na przykład może być konieczne wysłanie poufnych informacji na osobiste adresy e-mail korzystające z konta Gmail, Hotmail lub Microsoft albo do użytkowników, którzy nie mają konta w usłudze Office 365 lub Azure AD. Te wiadomości e-mail powinny być szyfrowane podczas spoczynku i przesyłania oraz być odczytywane tylko przez oryginalnych adresatów.

Ten scenariusz wymaga Szyfrowanie wiadomości usługi Office 365 możliwości. Jeśli adresaci nie mogą otworzyć chronionej poczty e-mail we wbudowanym kliencie poczty e-mail, mogą użyć kodu dostępu do odczytu poufnych informacji w przeglądarce.

Na przykład użytkownik usługi Gmail może zobaczyć następujący monit w odbieranych wiadomościach e-mail:

Środowisko odbiorcy usługi Gmail dla OME i AIP

W przypadku użytkownika wysyłającego wiadomość e-mail wymagane akcje są takie same jak w przypadku wysyłania chronionej wiadomości e-mail do użytkownika w swojej organizacji. Na przykład wybierz przycisk Nie przesyłaj dalej, który klient usługi AIP może dodać do Outlook wstążki.

Alternatywnie funkcję Nie przesyłaj dalej można zintegrować z etykietą, która umożliwia użytkownikom zastosowanie zarówno klasyfikacji, jak i ochrony do tej wiadomości e-mail. Na przykład:

Wybieranie etykiety skonfigurowanej dla opcji Nie przesyłaj dalej

Administratorzy mogą również automatycznie zapewniać ochronę użytkowników, konfigurując reguły przepływu poczty, które stosują ochronę praw.

Wszelkie Office dołączone do tych wiadomości e-mail są również automatycznie chronione.

Skanowanie w celu sklasyfikowania i ochrony istniejącej zawartości

Idealnym rozwiązaniem jest etykietowanie dokumentów i wiadomości e-mail podczas ich tworzenia. Jednak prawdopodobnie masz wiele istniejących dokumentów przechowywanych lokalnie lub w chmurze i chcesz również klasyfikować i chronić te dokumenty.

Aby sklasyfikować i chronić istniejącą zawartość, użyj jednej z następujących metod:

  • Magazyn lokalnie: użyj skanera Azure Information Protection, aby odnajdywać, klasyfikować i chronić dokumenty w udziałach sieciowych i Microsoft SharePoint Server witryn i bibliotek.

    Skaner działa jako usługa na Windows Server i używa tych samych reguł zasad do wykrywania poufnych informacji i stosowania określonych etykiet do dokumentów.

    Alternatywnie użyj skanera, aby zastosować etykietę domyślną do wszystkich dokumentów w repozytorium danych bez sprawdzania zawartości pliku. Skanera w trybie raportowania należy używać tylko do odnajdywania poufnych informacji, które mogą nie być ci dostępne.

  • Magazyn danych w chmurze: użyj Microsoft Cloud App Security, aby zastosować etykiety do dokumentów w usłudze Box, SharePoint i OneDrive. Aby uzyskać samouczek, zobacz Automatyczne stosowanie Azure Information Protection klasyfikacji

Następne kroki

Skonfiguruj i zobacz Azure Information Protection dla siebie dzięki naszym przewodnikom Szybki start i samouczkom:

Jeśli wszystko jest gotowe do wdrożenia tej usługi dla organizacji, przejdź do przewodników z instrukcje.