Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Integracja z usługą Azure Information ProtectionAzure Information Protection integration

Microsoft Cloud App Security umożliwia automatycznie, zastosuj etykiet klasyfikacji usługi Azure Information Protection z lub bez ochrony do plików jako akcja ładu pliku zasad.Microsoft Cloud App Security lets you apply Azure Information Protection classification labels automatically, with or without protection, to files as a file policy governance action. Pliki można również zbadać za pomocą filtrowania dla etykiety klasyfikacji zastosowanych w portalu Cloud App Security.You can also investigate files by filtering for the applied classification label within the Cloud App Security portal. Dzięki temu większa wgląd i większą kontrolę nad danymi poufnymi w chmurze.This enables greater visibility and control of your sensitive data in the cloud. Integrowanie usługi Azure Information Protection z usługą Cloud App Security jest bardzo proste — wystarczy zaznaczyć jedno pole wyboru.Integrating Azure Information Protection with Cloud App Security is as easy as selecting one single checkbox.

Po zintegrowaniu usługi Azure Information Protection z usługą Cloud App Security można korzystać ze wszystkich możliwości obydwu usług oraz zabezpieczonych plików w chmurze. Przykłady:By integrating Azure Information Protection into Cloud App Security, you can leverage the full power of both services and secure files in your cloud, including:

  • Możliwość stosowania etykiet klasyfikacji akcji ładu do plików spełniających określone zasadyThe ability to apply classification labels as a governance action to files that match specific policies
  • Możliwość wyświetlania wszystkich plików sklasyfikowanych w lokalizacji centralnejThe ability to view all classified files in a central location
  • Możliwość przeprowadzania badania zgodnie z poziomem klasyfikacji oraz określenia stopnia jawności poufnych danych za pośrednictwem aplikacji w chmurzeThe ability to perform investigation according to classification level, and quantify exposure of sensitive data over your cloud applications
  • Możliwość tworzenia zasad w celu zapewnienia prawidłowej obsługi sklasyfikowanych plikówThe ability to create policies to make sure classified files are being handled properly

Uwaga

Aby włączyć tę funkcję, należy zarówno Cloud App Security licencji i licencji dla usługi Azure Information Protection Premium P2.To enable this feature, you need both a Cloud App Security license and a license for Azure Information Protection Premium P2. Jak zarówno licencji znajdują się w miejscu, Cloud App Security synchronizuje etykiety organizacji z usługą Azure Information Protection.As soon as both licenses are in place, Cloud App Security syncs the organizations labels from the Azure Information Protection service.

Wymagania wstępnePrerequisites

Usługa cloud App Security obecnie obsługuje stosowanie etykiet klasyfikacji usługi Azure Information Protection dla następujących typów plików:Cloud App Security currently supports applying Azure Information Protection classification labels for the following file types:

  • Word: docm, docx, dotm, dotxWord: docm, docx, dotm, dotx
  • Programu Excel: xlam, xlsm, xlsx, xltxExcel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptxPowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF będzie dostępna w przyszłych wersjachPDF will be available in future versions

Ta funkcja jest obecnie dostępna dla plików, które są przechowywane w pole, G pakiet usługi SharePoint Online i OneDrive dla firm.This feature is currently available for files that are stored in Box, G Suite, SharePoint Online, and OneDrive for Business. Więcej aplikacji w chmurze będzie obsługiwanych w przyszłych wersjach.More cloud apps will be supported in future versions.

Pliki, które zostały oznaczone z ochroną poza Cloud App Security nie może obecnie skanowany lub zmieniony przez usługę Cloud App Security.Files that were labeled with protection outside of Cloud App Security cannot currently be scanned or changed by Cloud App Security. Pliki, które zostały oznaczone (bez ochrony) mogą być skanowane zewnętrznych w stosunku do Cloud App Security, a Cloud App Security mogą stosować inną etykietę (z lub bez ochrony), zgodnie z definicją w zasadach Cloud App Security.Files that were labeled (without protection) external to Cloud App Security, can be scanned and Cloud App Security can apply a different label (with or without protection) as defined in Cloud App Security policies.

Jak to działaHow it works

Prawdopodobnie znasz etykiety klasyfikacji plików używane w usłudze Azure Information Protection.You are probably familiar with file classification labels in Azure Information Protection. Tagi klasyfikacji usługi Azure Information Protection są widoczne w usłudze Cloud App Security.You can see the Azure Information Protection classification tags in Cloud App Security. Po zintegrowaniu usługi Cloud App Security z usługą Azure Information Protection usługa Cloud App Security skanuje pliki w następujący sposób:As soon as you integrate Cloud App Security with Azure Information Protection, Cloud App Security scans files as follows:

  1. Usługa Cloud App Security pobiera listę wszystkich etykiet klasyfikacji używanych w dzierżawie.Cloud App Security retrieves the list of all the classification labels used in your tenant. Działanie to jest wykonywane co godzinę, aby zachować aktualność listy.This is performed every hour to keep the list up to date.
  2. Następnie usługa Cloud App Security skanuje pliki powiązane z etykietami klasyfikacji w następujący sposób: a.Cloud App Security then scans the files for classification labels, as follows: a. Jeśli włączono automatyczne skanowanie (patrz poniżej), wszystkie nowe lub zmodyfikowane pliki zostaną dodane do kolejki skanowania i wszystkie istniejące pliki i repozytoriów będzie skanowania, sklasyfikowanych i chronionych.If you enabled automatic scan (see the following), all new or modified files are added to the scan queue and all existing files and repositories will be scanned, classified and protected. b.b. Jeśli ustawienie zasad pliku (patrz poniżej) do wyszukania etykiet klasyfikacji, te pliki zostaną dodane do kolejki skanowania etykiet klasyfikacji.If you set a file policy (see the following) to search for classification labels, these files are added to the scan queue for classification labels.
  3. Jak wspomniano powyżej, te operacje skanowania dotyczą etykiet klasyfikacji odnalezionych podczas początkowego skanowania, które usługa Cloud App Security przeprowadza w celu sprawdzenia, które etykiety klasyfikacji są używane w danej dzierżawie.As noted above, these scans are for the classification labels discovered in the initial scan Cloud App Security performs to see which classification labels are used in your tenant. Etykiety zewnętrzne — etykiety klasyfikacji ustawione przez użytkownika zewnętrznego względem dzierżawy — są dodawane do listy etykiet klasyfikacji.External labels, classification labels set by someone external to your tenant, are added to the list of classification labels. Jeśli nie chcesz skanować tych, wybierz tylko skanowanie plików dla usługi Azure Information Protection etykiet klasyfikacji z tej dzierżawy pole wyboru (patrz poniżej).If you don't want to scan for these, select the Only scan files for Azure Information Protection classification labels from this tenant check box (see the following).
  4. Po włączeniu usługi Azure Information Protection w usłudze Cloud App Security wszystkie nowe pliki dodane do usługi Office 365 zostaną również objęte skanowaniem w poszukiwaniu etykiet klasyfikacji.After you enable Azure Information Protection on Cloud App Security, all new files that are added to Office 365 will be scanned for classification labels as well.
  5. Można utworzyć nowe zasady w Cloud App Security stosowane automatycznie etykiet klasyfikacji.You can create new policies within Cloud App Security that apply your classification labels automatically.

Jak zintegrować usługę Azure Information Protection z usługą Cloud App SecurityHow to integrate Azure Information Protection with Cloud App Security

Włączanie usługi Azure Information ProtectionEnable Azure Information Protection

Aby zintegrować usługę Azure Information Protection z usługą Cloud App Security, wystarczy włączyć automatyczne skanowanie i umożliwić w ten sposób wyszukiwanie etykiet klasyfikacji usługi Azure Information Protection w plikach usługi Office 365 bez konieczności tworzenia zasad.This is all you have to do to integrate Azure Information Protection with Cloud App Security: Enable automatic scan to enable searching for Azure Information Protection classification labels on your Office 365 files without the need to create a policy. Jeśli po włączeniu tej opcji w środowisku chmury będziesz mieć pliki oznaczone etykietami klasyfikacji usługi Azure Information Protection, będą one widoczne w usłudze Cloud App Security.After you enable this, if you have files in your cloud environment that are labeled with Azure Information Protection classification labels, you will see them in Cloud App Security.

Aby w usłudze Cloud App Security włączyć skanowanie plików w poszukiwaniu etykiet zabezpieczeń:To enable Cloud App Security to scan files with content inspection enabled for classification labels:

  1. W usłudze Cloud App Security po wybraniu koła zębatego ustawień wybierz stronę Ustawienia ogólne.In Cloud App Security, under the settings cog, select the General settings page.
  2. W usłudze Azure Information Protection wybierz pozycję Automatycznie skanuj pliki pod kątem etykiet klasyfikacji usługi Azure Information Protection.Under Azure Information Protection, select Automatically scan files for Azure Information Protection classification labels.

Po włączeniu usługi Azure Information Protection pliki z etykietami będą widoczne w usłudze Cloud App Security, w której będzie można je również filtrować według etykiety.After enabling Azure Information Protection, you will be able to see files that have classification labels and filter them per label in Cloud App Security. Po podłączeniu do aplikacji w chmurze Cloud App Security, będzie mógł używać funkcji integracji Cloud App Security usługi Azure Information Protection, które umożliwiają zastosowanie etykiety usługi Azure Information Protection (z lub bez ochrony) bezpośrednio w chmurze Portal zabezpieczeń aplikacji, dodając je bezpośrednio z plikami lub przez skonfigurowanie zasad pliku, aby automatycznie zastosować etykiet klasyfikacji jako akcja ładu.After Cloud App Security is connected to the cloud app, you will be able to use the Cloud App Security Azure Information Protection integration features that enable you to apply Azure Information Protection labels (with or without protection) directly in the Cloud App Security portal, by adding them directly to files or by configuring a file policy to apply classification labels automatically as a governance action.

włączanie usługi Azure Information Protection

Uwaga

Automatyczne skanowanie nie skanuje istniejące pliki do czasu ponownie zmodyfikować.Automatic scan does not scan existing files until they are modified again. Aby przeskanować istniejące pliki pod kątem etykiet klasyfikacji usługi Azure Information Protection, musisz mieć co najmniej jedne zasady plików dotyczące inspekcji zawartości.To scan existing files for Azure Information Protection classification labels, you must have at least one Content inspection File policy. Jeśli ich nie masz, utwórz nowe zasady plików, usuń wszystkie wstępnie ustawione filtry i zaznacz opcję Inspekcja zawartości.If you have none, create a new File policy, delete all the preset filters, check the Content inspection option. Następnie w obszarze Inspekcja zawartości kliknij pozycję Uwzględnij pliki pasujące do wstępnie ustawionego wyrażenia, wybierz dowolną wstępnie zdefiniowaną wartość i zapisz zasady.Then, under Content inspection, click Include files that match a preset expression and select any predefined value, and save the policy. Dzięki temu inspekcję zawartości, który automatycznie wykrywa etykiet klasyfikacji usługi Azure Information Protection.This enables content inspection, which automatically detects Azure Information Protection classification labels.

Ustawianie tagów wewnętrznych i zewnętrznychSet internal and external tags

Domyślnie usługa Cloud App Security skanuje etykiet klasyfikacji, które zostały zdefiniowane w organizacji, a także te zewnętrznych, które zostały zdefiniowane przez inne organizacje.By default, Cloud App Security scans classification labels that were defined in your organization as well as external ones that were defined by other organizations.

Aby ignorować etykiety klasyfikacji ustawione jako zewnętrzne w stosunku do organizacji, w portalu usługi Cloud App Security w obszarze Ustawienia ogólne (obszar Ustawienia zabezpieczeń platformy Azure) wybierz pozycję Ignoruj etykiety klasyfikacji usługi Azure Information Protection z innych dzierżaw.To ignore classification labels set external to your organization, in the Cloud App Security portal, under General settings, under Azure security settings select Ignore Azure Information Protection classification labels from other tenants.

ignorowanie etykiet

Zastosuj etykiety bezpośrednio do plikówApply labels directly to files

  1. Z pliki wybierz plik, który chcesz chronić, a następnie kliknij przycisk z wielokropkiem na końcu wiersza pliku i wybierz etykiety klasyfikacji Zastosuj.From the Files page, select the file you want to protect and then click the three dots at the end of the file's row and choose Apply classification label.

    Ochrona aplikacji

    Uwaga

    Usługa cloud App Security można stosować usługi Azure Information Protection na plikach, które są do 50 MB.Cloud App Security can apply Azure Information Protection on files that are up to 50 MB.

  2. Należy wybrać jedną z etykiet klasyfikacji organizacji zastosowane do pliku, a następnie kliknij przycisk Zastosuj.You are asked to choose one of your organization's classification labels to apply to the file, and click Apply. etykiety klasyfikacji ochronyprotection classification label

  3. Po wybraniu etykiety klasyfikacji i kliknij przycisk Zastosuj, Cloud App Security zastosuje etykiety klasyfikacji do oryginalnego pliku.After you choose a classification label and click apply, Cloud App Security will apply the classification label to the original file.

  4. Można również usunąć etykiety klasyfikacji, wybierając Usuń etykietę klasyfikacji opcji.You can also remove classification labels by choosing the Remove classification label option.

Aby uzyskać więcej informacji o sposobie Cloud App Security i usługi Azure Information Protection, zobacz chronić dane przed błędy użytkownika.For more information about how Cloud App Security and Azure Information Protection work together, see Protect data against user mistakes.

Automatycznie pliki etykietAutomatically label files

Można automatycznie zastosować etykiet klasyfikacji do plików, tworząc zasady dotyczące plików i ustawienie etykiety klasyfikacji Zastosuj jako akcja ładu.You can automatically apply classification labels to files by creating a file policy and setting Apply classification label as the governance action.

Wykonaj te instrukcje, aby utworzyć zasady dotyczące plików:Follow these instructions to create the file policy:

  1. Utwórz zasady dotyczące plików.Create a file policy.

  2. Zestaw zasad, takich jak typ pliku, który chcesz wykryć, na przykład wszystkie pliki where poziom dostępu nie jest równa wewnętrzne i gdzie OU właściciela jest równe użytkownika Finance zespołu.Set the policy including the type of file you want to detect, for example, all files where Access level does not equal Internal and where the Owner OU equals your finance team.

  3. W obszarze Akcje ładu dla aplikacji odpowiednie do zastosowania etykiety klasyfikacji , a następnie wybierz typ etykiety.Under governance actions for the relevant app to Apply a classification label and then select the label type.

    Zastosuj etykiety

Uwaga

Aby automatycznie zastosować etykiety usługi Azure Information Protection, za pomocą pliku zasad jest zaawansowanych możliwości.The ability to automatically apply an Azure Information Protection label through file policy is a powerful capability. Do ochrony klientów przed przez pomyłkę stosowania etykietę do dużą liczbę plików, jako środek zapobiegawczy bezpieczeństwa jest dzienny limit 100 etykiety Zastosuj akcje dla aplikacji, dla każdego dzierżawcy.To protect customers from mistakenly applying a label to a large number of files, as a safety precaution there is a daily limit of 100 Apply label actions per app, per tenant. Po osiągnięciu limitu codzienne Akcja etykiety Zastosuj tymczasowo wstrzymuje i będzie ona automatycznie kontynuowana następnego dnia (po 12:00 czasu UTC).After the daily limit is reached, the apply label action pauses temporarily and continues automatically the next day (after 12:00 UTC). Aby zwiększenie limitu dla Twojej dzierżawy się z pomocą techniczną zabezpieczeń aplikacji w chmurze.To raise the limit for your tenant, contact Cloud App Security Support.

Kontrola stopnia jawności plikuControl file exposure

  • Jeśli jest to dokument, który oznaczony przy użyciu usługi Azure Information Protection etykiety klasyfikacji:If this is the document that you labeled with an Azure Information Protection classification label:

    Przykładowy ekran usługi Azure Information Protection

  • Można wyświetlić tego pliku w usłudze Cloud App Security, w pliki strony za pomocą filtrowania dla etykiety klasyfikacji:You are able to see this file in Cloud App Security, in the Files page, by filtering for the classification label:

    Usługa cloud App Security w porównaniu do usługi Azure Information Protection

  • Więcej informacji na temat tych plików i ich etykiet klasyfikacji można uzyskać w szufladzie pliku, klikając odpowiedniego pliku w pliki strony i sprawdzić, czy ma ona etykiety klasyfikacji:You can get more information about these files and their classification labels in the file drawer by clicking on the relevant file in the Files page, and check whether it has a classification label:

    szuflada pliku

  • Następnie możesz utworzyć zasady dotyczące plików w usłudze Cloud App Security, aby kontrolować pliki, które są nieodpowiednio udostępniane i które są oznaczone etykietą oraz zostały ostatnio zmodyfikowane.Then, you can create file policies in Cloud App Security to control files that are shared inappropriately and find files that are labeled and were recently modified.

  • Ponadto można uruchomić alerty dotyczące działań związanych z zastrzeżonymi plikami.In addition, you can trigger alerts on activities related to classified files.

    tagi usługi Azure Information Protection w usłudze Cloud App Security

  • Można również utworzyć zasadę, która automatycznie stosuje etykiety klasyfikacji do określonych plików.You can also create a policy that automatically applies a classification label to specific files.

Uwaga

Wyłączenie ochrony tożsamości Azure etykiety w pliku wyłączone etykiety są jako wyłączone w usłudze Cloud App Security.When Azure Identity Protection labels are disabled on a file, the disabled labels appear as disabled in Cloud App Security. Usunięto etykiety nie są wyświetlane.Deleted labels are not displayed.

Przykładowe zasady — dane poufne, zewnętrznie udostępniony w polu:Sample policy - confidential data that is externally shared on Box:

  1. Utwórz zasady dotyczące plików.Create a file policy.
  2. Ustaw nazwę zasad, ważność i kategorii.Set the policy’s name, severity, and category.
  3. Dodaj następujące filtry, aby znaleźć wszystkie poufne dane, które są udostępniane zewnętrznie w usłudze Box:Add the following filters to find all confidential data that is externally shared on Box:

zasady dotyczące poufności

Przykładowe zasady — ograniczone dane, które ostatnio został zmodyfikowany poza folderem Finance w programie SharePoint:Sample policy - restricted data that was recently modified outside the Finance folder on SharePoint:

  1. Utwórz zasady dotyczące plików.Create a file policy.
  2. Ustaw nazwę zasad, ważność i kategorii.Set the policy’s name, severity, and category.
  3. Dodaj następujące filtry, aby znaleźć wszystkie dane o ograniczonym dostępie, które zostały ostatnio zmodyfikowane, oraz wykluczyć folder Finance (Finanse) w opcji wyboru folderów:Add the following filters to find all restricted data that was recently modified, and add exclude the Finance folder in the folder selection option:

zasady dotyczące danych o ograniczonym dostępie

Możesz również ustawić alerty i powiadomienia użytkowników lub natychmiast podejmować akcję dla tych zasad.You can also choose to set alerts, user notification or take immediate action for these policies. Dowiedz się więcej o akcjach ładu.Learn more about governance actions.

Dowiedz się więcej o usłudze Azure Information Protection i skorzystaj z Samouczka Szybki start dotyczącego usługi Azure Information Protection.Learn more about Azure Information Protection and check out the Azure Information Protection Quick start tutorial.

Usługa cloud App Security + Azure Information Protection integracjiCloud App Security + Azure Information Protection Integrations

Zobacz teżSee Also

Kontrola aplikacji w chmurze za pomocą zasadControl cloud apps with policies

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.