Samouczek: zapobieganie oversharingowi w Outlook użyciu Azure Information Protection (AIP)

Dotyczy: Azure Information Protection

Istotne dla programu : Azure Information Protection ujednoliconego klienta etykietowania dla Windows

Jako administrator systemu musisz mieć pewność, że zawartość organizacji pozostanie bezpieczna i będzie udostępniana tylko zaufanym użytkownikom. Jednym z najbardziej typowych sposobów niewłaściwego udostępniania zawartości przez użytkowników jest użycie poczty e-mail. Skonfiguruj zasady, aby zapobiec oversharingowi za pośrednictwem Outlook, na przykład ograniczyć dostęp tylko określonym użytkownikom lub zezwalać użytkownikom na udostępnianie zawartości tylko zaufanym użytkownikom zewnętrznym.

Wymagany czas: ten samouczek można ukończyć w ciągu 30 minut.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Konfigurowanie zachowań ostrzegawczych, uzasadniających i blokujących dla określonych warunków etykietowania
  • Wyświetlanie ustawień w działaniu
  • Przeglądanie zarejestrowanych komunikatów i akcji użytkownika w dzienniku zdarzeń

Wymagania wstępne dotyczące samouczka

Przed rozpoczęciem tego samouczka upewnij się, że masz następujące wymagania systemowe.

Wymagania wstępne Opis
Wymagania dotyczące maszyny Upewnij się, że:

— mieć Windows z zainstalowanym Azure Information Protection ujednoliconego etykietowania. Aby uzyskać więcej informacji, zobacz Szybki start: wdrażanie Azure Information Protection ujednoliconego etykietowania (AIP).

— Masz zainstalowany program PowerShell i możesz uruchomić program PowerShell jako administrator.

— Może zalogować się do Outlook. Przygotuj się do wielokrotnego Outlook tego samouczka.
Azure Information Protection subskrypcji Potrzebna będzie subskrypcja platformy Azure, która zawieraAzure Information Protection .

Jeśli nie masz jednej z tych subskrypcji, utwórz bezpłatne konto dla swojej organizacji.
Etykiety czułości i zasady testowania Etykieta czułości Ogólne skonfigurowana w zasadach.

Skonfiguruj etykiety czułości w Centrum zgodności platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft 365 .

W tym samouczku zalecamy używanie zasad testowania, aby nie wpływać na zasady na żywo.
Upewnij się, że masz pod ręką nazwę zasad, a także identyfikator GUID etykiety Ogólne.

Zaczynajmy.

Implementowanie komunikatu ostrzegawczego dla wiadomości e-mail z etykietą Ogólne

Ta procedura opisuje sposób konfigurowania zasad w celu ostrzeżenia Outlook przed wysłaniem wiadomości e-mail z etykietą Ogólne.

Użytkownicy mogą zdecydować się na to ostrzeżenie i zmienić etykietę lub zawartość albo mimo to wysłać wiadomość e-mail.

  1. Na komputerze klienckim uruchom program PowerShell jako administrator.

  2. Uruchom następujące polecenie, aby zdefiniować komunikat ostrzegawczy dla etykiety Ogólne. Podczas kopiowania tego polecenia zastąp wartość Global nazwą zasad, a długi ciąg znaków własnym identyfikatorem etykiety.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
    

    W tym przykładzie zasady mają nazwę Globalne, a identyfikator GUID etykiety Ogólne to 8faca7b8-8d20-48a3-8ea2-0f96310a848e.

    Porada

    Jeśli chcesz zastosować to ustawienie do wielu etykiet, należy wyświetlić ich identyfikatory GUID w wartości, oddzielając je przecinkami.

  3. Przetestuj ustawienie w Outlook:

    1. Na komputerze klienckim otwórz lub uruchom ponownie Outlook, aby ściągnąć zaktualizowane ustawienia.

    2. Utwórz nową wiadomość e-mail i zastosuj etykietę Ogólne. Na pasku narzędzi komunikatów wybierz przycisk Czułość, a następnie wybierz pozycję Ogólne.

    3. Zdefiniuj pole Do przy użyciu własnego adresu e-mail, a pole Temat jako: Testing a warning message for the General label , a następnie wyślij wiadomość e-mail.

      Przed wysłaniem wiadomości e-mail powinno zostać wyświetlony następujące ostrzeżenie z prośbą o potwierdzenie. Na przykład:

      Testowanie komunikatu ostrzegawczego dla etykiety Ogólne

    4. Uśmij, że jesteś użytkownikiem, który omyłnie próbował wysłać wiadomość e-mail z etykietą Ogólne. W tym przypadku chcesz zobaczyć ostrzeżenie, więc wybierz pozycję Anuluj.

      Wiadomość e-mail nie jest wysyłana, ale pozostaje otwarta, aby można było zmienić zawartość lub etykietę.

    5. Nie musisz wprowadzać żadnych zmian i możesz zdecydować, że zawartość jest odpowiednia do wysłania. Wybierz ponownie pozycję Wyślij. Tym razem, gdy pojawi się ostrzeżenie, wybierz pozycję Potwierdź i wyślij.

      Wiadomość e-mail jest wysyłana.

Kontynuuj wyświetlanie komunikatu ostrzegawczego dla ogólnych wiadomości e-mail tylko wtedy, gdy są one wysyłane zewnętrznie.

Wyświetlanie komunikatu ostrzegawczego dla ogólnych wiadomości e-mail tylko wtedy, gdy są one wysyłane zewnętrznie

Ta procedura opisuje sposób dodawania wyjątku do wcześniej skonfigurowanego komunikatu ostrzegawczego, aby komunikat ostrzegawczy był wyświetlany tylko dla adresatów zewnętrznych.

Podczas wewnętrznego wysyłania wiadomości e-mail Ogólne wiadomość ostrzegawczy nie jest wyświetlana.

  1. Na komputerze klienckim uruchom program PowerShell jako administrator.

  2. Uruchom następujące polecenie, aby zdefiniować domenę jako zaufaną domenę dla komunikatów ostrzegawczych. Po skopiowaniu tego polecenia zastąp globalną nazwą zasad, a contoso.com własną domeną.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnTrustedDomains="contoso.com"}    
    

    Porada

    Jeśli chcesz zastosować to ustawienie do wielu domen, na przykład jeśli chcesz dodać zaufanych partnerów, wymień ich domeny w wartości, oddzielając je przecinkami.

  3. Przetestuj ustawienie w Outlook:

    1. Na komputerze klienckim otwórz lub uruchom ponownie Outlook, aby ściągnąć zaktualizowane ustawienia.

    2. Utwórz nową wiadomość e-mail i zastosuj etykietę Ogólne. Na pasku narzędzi komunikatów wybierz przycisk Czułość, a następnie wybierz pozycję Ogólne.

    3. Zdefiniuj pole Do przy użyciu własnego adresu e-mail, a pole Temat jako: Testing a warning message for the General label , a następnie wyślij wiadomość e-mail.

      Wiadomość e-mail jest wysyłana i nie jest wyświetlane żadne ostrzeżenie.

Poproś użytkowników o uzasadnienie wysyłania zawartości bez etykiet

W tej procedurze opisano sposób konfigurowania ustawień zaawansowanych w taki sposób, aby użytkownicy uzasadniali swoje uzasadnienie wysyłania zawartości bez etykiet.

  1. Na komputerze klienckim uruchom program PowerShell jako administrator.

  2. Aby Outlook użytkownikom komunikat z uzasadnieniem, jeśli próbują wysłać wiadomość e-mail bez etykiety, zastąp element Globalny nazwą zasad i uruchom:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Justify"}
    
  3. Przetestuj ustawienie w Outlook:

    1. Na komputerze klienckim otwórz lub uruchom ponownie Outlook, aby ściągnąć zaktualizowane ustawienia.

    2. Utwórz nową wiadomość e-mail i upewnij się, że nie zastosowano etykiety.

      Jeśli na przykład zasady mają etykietę domyślną, użyj przycisku , aby ją usunąć.

    3. Zdefiniuj pole Do przy użyciu własnego adresu e-mail, a pole Temat jako: Testing the justification message for unlabeled content , a następnie wyślij wiadomość e-mail.

      Zostanie wyświetlone okno podręczne podobne do następującego przykładu:

      Przykładowy komunikat z uzasadnieniem dla zawartości bez etykiet

    4. Wybierz jedną z opcji. Jeśli wybierzesz trzecią opcję Inne, jak wyjaśniono, wprowadź przykładowy tekst w polu tekstowym.

    5. Wybierz pozycję Potwierdź i wyślij.

      Wiadomość e-mail jest wysyłana.

Przejdź do tematu Dostosowywanie monitu o uzasadnienie bezpłatnego tekstu.

Dostosowywanie monitu o uzasadnienie bezpłatnego tekstu

Ta procedura opisuje sposób dostosowywania trzeciej opcji w domyślnym komunikacie uzasadniania.

Na przykład możesz dodać tam tekst, aby monitować użytkownika o dodanie określonych szczegółów lub przypominać użytkownikom, aby nie wprowadzali żadnych poufnych danych.

  1. Na komputerze klienckim uruchom program PowerShell jako administrator.

  2. Aby dostosować monit o bezpłatny tekst w wyświetlonym komunikacie z uzasadnieniem, zastąp pole Globalne nazwą zasad i uruchom:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
    

    Porada

    Możesz zastąpić wartość w cudzysłowie dowolnym innym tekstem, który chcesz tam dodać.

  3. Przetestuj ustawienie w Outlook:

    1. Na komputerze klienckim otwórz lub uruchom ponownie Outlook, aby ściągnąć zaktualizowane ustawienia.

    2. Utwórz nową wiadomość e-mail i upewnij się, że nie zastosowano etykiety.

      Jeśli na przykład zasady mają etykietę domyślną, użyj przycisku , aby ją usunąć.

    3. Zdefiniuj pole Do przy użyciu własnego adresu e-mail, a pole Temat jako: Testing a customized free text justification prompt , a następnie wyślij wiadomość e-mail.

      Zostanie wyświetlone okno podręczne z uzasadnieniem, tym razem z dostosowanym tekstem. Na przykład:

      Przykładowy monit o uzasadnienie z dostosowanym bezpłatnym monitem tekstowym

Blokowanie użytkownikom wysyłania komunikatów PowerPoint bez etykiet

Ta procedura opisuje sposób blokowania użytkownikom wysyłania plików PowerPoint bez etykiet z Outlook.

  1. Na komputerze klienckim uruchom program PowerShell jako administrator.

  2. Aby zablokować możliwość wysłania zawartości bez etykiet z Outlook, zastąp globalną nazwą swoich zasad i uruchom:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Block"}
    
  3. Aby ograniczyć zachowanie blokujące tylko do PowerPoint typów plików, zastąp wartość Global nazwą swoich zasad i uruchom następujące działania:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.POTX,.POTM,.POT,.PPTX"}
    
  4. Przetestuj ustawienie w Outlook:

    1. Na komputerze klienckim otwórz PowerPoint utwórz nowy plik.pptx, nie zapomnij pozostawić tego pliku bez etykiety.

    2. Otwórz lub uruchom ponownie Outlook, aby ściągnąć zaktualizowane ustawienia.

    3. Dołącz plik bez etykiety PowerPoint do nowego Outlook wiadomości.

    4. Zdefiniuj pole Do przy użyciu własnego adresu e-mail, a pole Temat jako: Testing sending unlabeled PowerPoint files , a następnie wyślij wiadomość e-mail.

      Outlook blokuje wysyłanie wiadomości e-mail i wyświetla następujący komunikat:

      Przykładowy komunikat o blokadzie dla załącznika PowerPoint etykietami

Przejdź do tematu Dostosowywanie komunikatu blokady dla komunikatówPowerPoint etykietami .

Dostosowywanie komunikatu bloku dla komunikatów bez etykiet PowerPoint wiadomości

W tej procedurze opisano sposób dostosowywania komunikatu, który jest wyświetlany, gdy użytkownik próbuje wysłać plik PowerPoint bez etykiety do użytkowników zewnętrznych.

Ważne

Ta procedura spowoduje zastąpienie wszystkich ustawień, które zostały już zdefiniowane przy użyciu zaawansowanej właściwości OutlookUnlabeledCollaborationAction i jest ona wyświetlana tylko do celów samouczka.

W środowisku produkcyjnym zaleca się unikanie komplikacji przy użyciu zaawansowanej właściwości OutlookUnlabeledCollaborationAction w celu zdefiniowania reguł lub zdefiniowania złożonych reguł za pomocą pliku JSON, jak zdefiniowano poniżej, ale nie obu tych elementów.

Aby zdefiniować regułę przy użyciu pliku JSON:

  1. Utwórz plik json o nazwie OutlookCollaborationRule_1.json z następującym kodem:

    {   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",
                     "LabelId" : null,
                    "Extensions": [
                                    ".PPTX",
                                    ".PPTM",
                                    ".POTX",
                                    ".POTM",
                                    ".POT",
                                    ".PPTX"
                                 ]
    
                },
                {                   
                    "type" : "EmailLabel",
                     "LabelId" : null
                }
            ]
        },      
        {           
            "type" : "Email Block",             
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Email Blocked",                 
                    "Body": "Sending PowerPoint files to external recipients requires that you label your files so that we can classify and protect Contoso content.<br><br>List of attachments that are not labeled:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso’s policies.<br><br>Label your document and send it again."              
                },          
            },          
            "DefaultLanguage": "en-us"      
        }   
      ] 
    }
    
  2. Zapisz plik OutlookCollaborationRule_1.json w lokalizacji dostępnej dla komputera klienckiego.

  3. Na komputerze klienckim uruchom program PowerShell jako administrator.

  4. Aby dostosować komunikat o blokadzie, skopiuj następujący kod, zastępując C:\OutlookCollaborationRule_1.json ścieżką do pliku json, a pozycję Ogólne nazwą zasad.

    $filedata = Get-Content "C:\OutlookCollaborationRule_1.json”
    Set-LabelPolicy -Identity General -AdvancedSettings @{OutlookCollaborationRule_1 ="$filedata"}    
    

    Uruchom kod, aby zaimplementować ustawienia zdefiniowane w pliku json.

  5. Przetestuj ustawienie w Outlook:

    1. Na komputerze klienckim otwórz PowerPoint utwórz nowy plik.pptx, nie zapomnij pozostawić tego pliku bez etykiety.

    2. Otwórz lub uruchom ponownie Outlook, aby ściągnąć zaktualizowane ustawienia.

    3. Dołącz plik bez etykiety PowerPoint do nowego Outlook wiadomości.

    4. Zdefiniuj pole Do przy użyciu własnego adresu e-mail, a pole Temat jako: Testing customized blocking message for unlabeled PowerPoint files , a następnie wyślij wiadomość e-mail.

      Outlook blokuje wysyłanie wiadomości e-mail i wyświetla następujący komunikat:

      Niestandardowy komunikat bloku dla PowerPoint plików bez etykiety

Przejdź do tematu Używanie dziennika zdarzeń, aby zidentyfikować komunikaty i akcje użytkownika dla etykiety Ogólne.

Użyj dziennika zdarzeń, aby zidentyfikować komunikaty i akcje użytkownika dla etykiety Ogólne

W tym samouczku opisano, jak dostosować zachowanie programu AIP w u Outlook, aby zapobiec kilku typom oversharingu, w tym komunikatom ostrzegawczym, uzasadnianiu i blokowaniu. Sprawdzono również zachowanie na komputerze Outlook komputerze klienckim.

Teraz możesz uruchomić śledzenia Windows Podgląd zdarzeń, aby sprawdzić dzienniki pod tematem akcji, które wystąpiły.

Aby sprawdzić, Podgląd zdarzeń rejestrowania WIP:

Na komputerze klienckim otwórz aplikację Windows Podgląd zdarzeń, a następnie przejdź do dzienników aplikacji i usług, Azure Information Protection > .

Zostanie zarejestrowane zdarzenie informacji dla każdego wykonanego testu, w tym szczegółowe informacje o komunikacie i odpowiedzi użytkownika:

  • Ostrzegaj o komunikatach: Identyfikator informacji 301
  • Uzasadnienie komunikatów: Identyfikator informacji 302
  • Komunikaty blokowe: Identyfikator informacji 303

Na przykład:

Sprawdź dziennik zdarzeń dla testów komunikatów ostrzegawczych

Pierwszym testem było ostrzeżenie użytkownika, a następnie wybrano opcję Anuluj. W takim przypadku odpowiedź użytkownika wyświetla komunikat Odrzucono w pierwszym zdarzeniu 301:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing a warning message for the General label.msg
Item Name: Testing a warning message for the General label
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Dismissed

Następnie jednak wybrano pozycję Potwierdź i Wyślij, która zostanie odzwierciedlona w następnym zdarzeniu 301, w którym w polu Odpowiedź użytkownika zostanie wyświetlona odpowiedź potwierdzony:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing a warning message for the General label.msg
Item Name: Testing a warning message for the General label
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Confirmed

Sprawdź dziennik zdarzeń pod celu sprawdzenia, czy testy komunikatów uzasadniających

Ten sam wzorzec jest powtarzany dla komunikatu uzasadnienia, który ma zdarzenie 302. Pierwsze zdarzenie ma odpowiedź użytkownika Odrzucono, a drugie zawiera uzasadnienie, które zostało wybrane. Na przykład:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the justification message for unlabeled content.msg
Item Name: Testing the justification message for unlabeled content
Process Name: OUTLOOK
Action: Justify
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
User Justification: I confirm the recipients are approved for sharing this content
Action Source: 
User Response: Confirmed

Sprawdź dziennik zdarzeń dla testów komunikatów blokowych

W górnej części dziennika zdarzeń jest wyświetlany zarejestrowany komunikat o blokadzie z zdarzeniem 303. Na przykład:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing sending unlabeled PowerPoint files.msg
Item Name: Testing sending unlabeled PowerPoint files
Process Name: OUTLOOK
Action: Block
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 

Czyszczenie zasobów

Po zakończeniu pracy z tym samouczkiem możesz zachować zasady testowania do dalszego odwołania lub usunąć je, aby wyczyścić zasoby.

Jeśli chcesz usunąć zasady, zrób to w Centrum zgodności platformy Microsoft 365.

Aby uzyskać więcej informacji, zobacz dokumentację Microsoft 365

Po usunięciu uruchom Outlook komputerze klienckim, aby nie była już skonfigurowana z ustawieniami zdefiniowanymi w tym samouczku.

Następne kroki

W celu szybszego testowania w tym samouczku wykorzystano wiadomość e-mail do jednego adresata bez załączników.

Zastosuj te same metody z wieloma adresatami i etykietami lub do załączników, gdzie stan etykietowania jest czasami mniej oczywisty dla użytkowników.

Na przykład możesz chcieć, aby w wiadomościach e-mail z etykietą Publiczna pojawiła się wiadomość podręczna z etykietą , ale dołączyć prezentację PowerPoint z etykietą Ogólne.

Aby uzyskać więcej informacji na temat zaawansowanych właściwości i Outlook dostosowywania, zobacz Podręcznik administratora: konfiguracje niestandardowe dla klienta Azure Information Protection ujednoliconego etykietowania.