Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Integracja z usługą Azure Information ProtectionAzure Information Protection integration

Microsoft Cloud App Security umożliwia zastosowanie etykiety klasyfikacji usługi Azure Information Protection automatycznie, z lub bez ochrony do plików akcji nadzoru w pliku zasad.Microsoft Cloud App Security lets you apply Azure Information Protection classification labels automatically, with or without protection, to files as a file policy governance action. Pliki można także badać przez filtrowanie zastosowano etykietę klasyfikacji w portalu usługi Cloud App Security.You can also investigate files by filtering for the applied classification label within the Cloud App Security portal. Dzięki temu zapewnia lepszy wgląd i kontrolę nad poufnymi danymi w chmurze.This enables greater visibility and control of your sensitive data in the cloud. Integrowanie usługi Azure Information Protection z usługą Cloud App Security jest bardzo proste — wystarczy zaznaczyć jedno pole wyboru.Integrating Azure Information Protection with Cloud App Security is as easy as selecting one single checkbox.

Po zintegrowaniu usługi Azure Information Protection z usługą Cloud App Security można korzystać ze wszystkich możliwości obydwu usług oraz zabezpieczonych plików w chmurze. Przykłady:By integrating Azure Information Protection into Cloud App Security, you can leverage the full power of both services and secure files in your cloud, including:

  • Możliwość stosowania etykiet klasyfikacji akcji nadzoru do plików, które odpowiadają na określone zasadyThe ability to apply classification labels as a governance action to files that match specific policies
  • Możliwość wyświetlania wszystkich plików sklasyfikowanych w lokalizacji centralnejThe ability to view all classified files in a central location
  • Możliwość przeprowadzania badania zgodnie z poziomem klasyfikacji oraz określenia stopnia jawności poufnych danych za pośrednictwem aplikacji w chmurzeThe ability to perform investigation according to classification level, and quantify exposure of sensitive data over your cloud applications
  • Możliwość tworzenia zasad w celu zapewnienia prawidłowej obsługi sklasyfikowanych plikówThe ability to create policies to make sure classified files are being handled properly

Uwaga

Aby włączyć tę funkcję, należy zarówno usługa Cloud App Security i licencja dla usługi Azure Information Protection Premium P1.To enable this feature, you need both a Cloud App Security license and a license for Azure Information Protection Premium P1. Gdy obie licencje będą dostępne, usługa Cloud App Security przeprowadza synchronizację etykiety organizacji z usługą Azure Information Protection.As soon as both licenses are in place, Cloud App Security syncs the organizations labels from the Azure Information Protection service.

Wymagania wstępnePrerequisites

Usługa cloud App Security aktualnie obsługuje stosowanie etykiet klasyfikacji usługi Azure Information Protection dla następujących typów plików:Cloud App Security currently supports applying Azure Information Protection classification labels for the following file types:

  • Programu Word: docm, docx, dotm, dotxWord: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltxExcel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptxPowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • Plik PDF będzie dostępna w przyszłych wersjachPDF will be available in future versions

Ta funkcja jest obecnie dostępna dla plików, które są przechowywane w polu, usługi G Suite, usługi SharePoint Online i OneDrive dla firm.This feature is currently available for files that are stored in Box, G Suite, SharePoint Online, and OneDrive for Business. Więcej aplikacji w chmurze będzie obsługiwanych w przyszłych wersjach.More cloud apps will be supported in future versions.

Pliki, które zostały oznaczone za pomocą ochronę poza Cloud App Security nie może obecnie skanowany lub zmienione przez usługę Cloud App Security.Files that were labeled with protection outside of Cloud App Security cannot currently be scanned or changed by Cloud App Security. Pliki, które zostały oznaczone (bez ochrony) może zostać przeprowadzone skanowanie zewnętrzne względem programu Cloud App Security, a usługa Cloud App Security można zastosować inną etykietę (z lub bez ochrony), zgodnie z definicją w zasadach Cloud App Security.Files that were labeled (without protection) external to Cloud App Security, can be scanned and Cloud App Security can apply a different label (with or without protection) as defined in Cloud App Security policies.

Jak to działaHow it works

Prawdopodobnie znasz etykiety klasyfikacji plików używane w usłudze Azure Information Protection.You are probably familiar with file classification labels in Azure Information Protection. Tagi klasyfikacji usługi Azure Information Protection są widoczne w usłudze Cloud App Security.You can see the Azure Information Protection classification tags in Cloud App Security. Po zintegrowaniu usługi Cloud App Security z usługą Azure Information Protection usługa Cloud App Security skanuje pliki w następujący sposób:As soon as you integrate Cloud App Security with Azure Information Protection, Cloud App Security scans files as follows:

  1. Usługa Cloud App Security pobiera listę wszystkich etykiet klasyfikacji używanych w dzierżawie.Cloud App Security retrieves the list of all the classification labels used in your tenant. Działanie to jest wykonywane co godzinę, aby zachować aktualność listy.This is performed every hour to keep the list up to date.

  2. Usługa cloud App Security skanuje następnie pliki etykiet klasyfikacji w następujący sposób:Cloud App Security then scans the files for classification labels, as follows:

    1. Jeśli włączono automatyczne skanowanie (patrz poniżej), wszystkie nowe lub zmodyfikowane pliki zostaną dodane do kolejki skanowania i wszystkie istniejące pliki oraz repozytoria zostaną przeskanowane, klasyfikować i chronić.If you enabled automatic scan (see the following), all new or modified files are added to the scan queue and all existing files and repositories will be scanned, classified and protected.
    2. Jeśli ustawiono zasady dotyczące plików (zobacz poniżej) do wyszukania etykiet klasyfikacji, te pliki zostaną dodane do kolejki skanowania etykiet klasyfikacji.If you set a file policy (see the following) to search for classification labels, these files are added to the scan queue for classification labels.
  3. Jak wspomniano powyżej, te operacje skanowania dotyczą etykiet klasyfikacji odnalezionych podczas początkowego skanowania, które usługa Cloud App Security przeprowadza w celu sprawdzenia, które etykiety klasyfikacji są używane w danej dzierżawie.As noted above, these scans are for the classification labels discovered in the initial scan Cloud App Security performs to see which classification labels are used in your tenant. Etykiety zewnętrzne — etykiety klasyfikacji ustawione przez użytkownika zewnętrznego względem dzierżawy — są dodawane do listy etykiet klasyfikacji.External labels, classification labels set by someone external to your tenant, are added to the list of classification labels. Jeśli nie chcesz wyszukiwać podczas skanowania, zaznacz tylko Skanuj pliki pod kątem etykiet klasyfikacji usługi Azure Information Protection z tej dzierżawy pole wyboru (patrz poniżej).If you don't want to scan for these, select the Only scan files for Azure Information Protection classification labels from this tenant check box (see the following).

  4. Po włączeniu usługi Azure Information Protection w usłudze Cloud App Security wszystkie nowe pliki dodane do usługi Office 365 zostaną również objęte skanowaniem w poszukiwaniu etykiet klasyfikacji.After you enable Azure Information Protection on Cloud App Security, all new files that are added to Office 365 will be scanned for classification labels as well.

  5. Możesz utworzyć nowe zasady w usłudze Cloud App Security, które automatycznie stosować etykiety klasyfikacji.You can create new policies within Cloud App Security that apply your classification labels automatically.

Jak zintegrować usługę Azure Information Protection z usługą Cloud App SecurityHow to integrate Azure Information Protection with Cloud App Security

Włączanie usługi Azure Information ProtectionEnable Azure Information Protection

Aby zintegrować usługę Azure Information Protection z usługą Cloud App Security, wystarczy włączyć automatyczne skanowanie i umożliwić w ten sposób wyszukiwanie etykiet klasyfikacji usługi Azure Information Protection w plikach usługi Office 365 bez konieczności tworzenia zasad.This is all you have to do to integrate Azure Information Protection with Cloud App Security: Enable automatic scan to enable searching for Azure Information Protection classification labels on your Office 365 files without the need to create a policy. Jeśli po włączeniu tej opcji w środowisku chmury będziesz mieć pliki oznaczone etykietami klasyfikacji usługi Azure Information Protection, będą one widoczne w usłudze Cloud App Security.After you enable this, if you have files in your cloud environment that are labeled with Azure Information Protection classification labels, you will see them in Cloud App Security.

Aby w usłudze Cloud App Security włączyć skanowanie plików w poszukiwaniu etykiet zabezpieczeń:To enable Cloud App Security to scan files with content inspection enabled for classification labels:

  1. W usłudze Cloud App Security po wybraniu koła zębatego ustawień wybierz stronę Ustawienia ogólne.In Cloud App Security, under the settings cog, select the General settings page.
  2. W usłudze Azure Information Protection wybierz pozycję Automatycznie skanuj pliki pod kątem etykiet klasyfikacji usługi Azure Information Protection.Under Azure Information Protection, select Automatically scan files for Azure Information Protection classification labels.

Po włączeniu usługi Azure Information Protection pliki z etykietami będą widoczne w usłudze Cloud App Security, w której będzie można je również filtrować według etykiety.After enabling Azure Information Protection, you will be able to see files that have classification labels and filter them per label in Cloud App Security. Po podłączeniu Cloud App Security do aplikacji w chmurze, można używać funkcji integracji Cloud App Security usługi Azure Information Protection, które umożliwiają stosowanie etykiet usługi Azure Information Protection (z lub bez ochrony) bezpośrednio w chmurze Portal zabezpieczeń aplikacji, przez dodanie ich bezpośrednio do plików lub przez skonfigurowanie zasad plików w celu automatyczne stosowanie etykiet klasyfikacji akcji nadzoru.After Cloud App Security is connected to the cloud app, you will be able to use the Cloud App Security Azure Information Protection integration features that enable you to apply Azure Information Protection labels (with or without protection) directly in the Cloud App Security portal, by adding them directly to files or by configuring a file policy to apply classification labels automatically as a governance action.

włączanie usługi Azure Information Protection

Uwaga

Automatyczne skanowanie nie skanuje istniejące pliki, do momentu ich ponownego zmodyfikowania.Automatic scan does not scan existing files until they are modified again. Aby przeskanować istniejące pliki pod kątem etykiet klasyfikacji usługi Azure Information Protection, musisz mieć co najmniej jedne zasady plików dotyczące inspekcji zawartości.To scan existing files for Azure Information Protection classification labels, you must have at least one Content inspection File policy. Jeśli ich nie masz, utwórz nowe zasady plików, usuń wszystkie wstępnie ustawione filtry i zaznacz opcję Inspekcja zawartości.If you have none, create a new File policy, delete all the preset filters, check the Content inspection option. Następnie w obszarze Inspekcja zawartości kliknij pozycję Uwzględnij pliki pasujące do wstępnie ustawionego wyrażenia, wybierz dowolną wstępnie zdefiniowaną wartość i zapisz zasady.Then, under Content inspection, click Include files that match a preset expression and select any predefined value, and save the policy. Umożliwia to inspekcję zawartości, który automatycznie wykrywa etykiet klasyfikacji usługi Azure Information Protection.This enables content inspection, which automatically detects Azure Information Protection classification labels.

Ustawianie tagów wewnętrznych i zewnętrznychSet internal and external tags

Domyślnie usługa Cloud App Security skanuje etykiety klasyfikacji, które zostały zdefiniowane w Twojej organizacji, jak i zewnętrzne zdefiniowane przez inne organizacje.By default, Cloud App Security scans classification labels that were defined in your organization as well as external ones that were defined by other organizations.

Aby ignorować etykiety klasyfikacji ustawione jako zewnętrzne w stosunku do organizacji, w portalu usługi Cloud App Security w obszarze Ustawienia ogólne (obszar Ustawienia zabezpieczeń platformy Azure) wybierz pozycję Ignoruj etykiety klasyfikacji usługi Azure Information Protection z innych dzierżaw.To ignore classification labels set external to your organization, in the Cloud App Security portal, under General settings, under Azure security settings select Ignore Azure Information Protection classification labels from other tenants.

ignorowanie etykiet

Zastosowanie etykiet bezpośrednio z plikamiApply labels directly to files

  1. Z pliki wybierz plik, który chcesz chronić, a następnie kliknij trzy kropki na końcu wiersza pliku i wybierz Zastosuj etykietę klasyfikacji.From the Files page, select the file you want to protect and then click the three dots at the end of the file's row and choose Apply classification label.

    Chroń aplikację

    Uwaga

    Usługa cloud App Security można zastosować usługi Azure Information Protection w plikach, które są do 50 MB.Cloud App Security can apply Azure Information Protection on files that are up to 50 MB.

  2. Zostanie wyświetlony monit, aby wybrać jedną z etykiet klasyfikacji w organizacji zastosowane do pliku, a następnie kliknij przycisk Zastosuj.You are asked to choose one of your organization's classification labels to apply to the file, and click Apply. Etykieta klasyfikacji ochronyprotection classification label

  3. Po wybraniu etykiety klasyfikacji i kliknij przycisk Zastosuj, usługa Cloud App Security zastosuje etykiety klasyfikacji do oryginalnego pliku.After you choose a classification label and click apply, Cloud App Security will apply the classification label to the original file.

  4. Można również usunąć etykiety klasyfikacji, wybierając Usuń etykietę klasyfikacji opcji.You can also remove classification labels by choosing the Remove classification label option.

Aby uzyskać więcej informacji na temat jak usługa Cloud App Security i Azure Information Protection współpracują ze sobą, zobacz chronić dane przed błędami użytkowników.For more information about how Cloud App Security and Azure Information Protection work together, see Protect data against user mistakes.

Automatycznie oznaczyć plikiAutomatically label files

Etykiety klasyfikacji mogą automatycznie stosować wobec plików, tworząc zasady dotyczące plików, a ustawienie Zastosuj etykietę klasyfikacji akcji ładu.You can automatically apply classification labels to files by creating a file policy and setting Apply classification label as the governance action.

Wykonaj te instrukcje, aby utworzyć zasady dotyczące plików:Follow these instructions to create the file policy:

  1. Utwórz zasady dotyczące plików.Create a file policy.

  2. Zestaw zasad, takich jak typ pliku, który chcesz wykryć, na przykład wszystkie pliki, gdzie poziom dostępu nie jest równa wewnętrzne i gdzie właściciela jednostki Organizacyjnej jest równe usługi Finanse zespołu.Set the policy including the type of file you want to detect, for example, all files where Access level does not equal Internal and where the Owner OU equals your finance team.

  3. W obszarze Akcje ładu w celu odpowiednią aplikację, aby Zastosuj etykietę klasyfikacji a następnie wybierz typ etykiety.Under governance actions for the relevant app to Apply a classification label and then select the label type.

    Zastosuj etykietę

Uwaga

Możliwość automatycznie stosować etykiety usługi Azure Information Protection za pomocą zasad plików jest zaawansowaną możliwością usługi.The ability to automatically apply an Azure Information Protection label through file policy is a powerful capability. Aby chronić klientów przez pomyłkę zastosowanie etykiety do dużej liczby plików, jako środek ostrożności bezpieczeństwa jest dzienny limit 100 Zastosuj etykietę akcje na aplikację w dzierżawie.To protect customers from mistakenly applying a label to a large number of files, as a safety precaution there is a daily limit of 100 Apply label actions per app, per tenant. Po osiągnięciu dziennego limitu akcji Zastosuj etykietę tymczasowo wstrzymuje i będzie ona automatycznie kontynuowana następnego dnia (po 12:00 czasu UTC).After the daily limit is reached, the apply label action pauses temporarily and continues automatically the next day (after 12:00 UTC). Aby zwiększyć limit dla Twojej dzierżawy się z pomocą techniczną zabezpieczeń aplikacji w chmurze.To raise the limit for your tenant, contact Cloud App Security Support.

Kontrola stopnia jawności plikuControl file exposure

  • Jeśli jest to dokument oznaczony etykietą klasyfikacji usługi Azure Information Protection:If this is the document that you labeled with an Azure Information Protection classification label:

    Przykładowy ekran usługi Azure Information Protection

  • Jesteś w stanie wyświetlić ten plik w usłudze Cloud App Security w pliki strony, filtrując etykiety klasyfikacji:You are able to see this file in Cloud App Security, in the Files page, by filtering for the classification label:

    Usługa cloud App Security w porównaniu do usługi Azure Information Protection

  • Więcej informacji na temat tych plików i ich etykiet klasyfikacji można uzyskać w szufladzie pliku, klikając odpowiedni plik w pliki strony, a następnie sprawdź, czy ma on etykiety klasyfikacji:You can get more information about these files and their classification labels in the file drawer by clicking on the relevant file in the Files page, and check whether it has a classification label:

    szuflada pliku

  • Następnie możesz utworzyć zasady dotyczące plików w usłudze Cloud App Security, aby kontrolować pliki, które są nieodpowiednio udostępniane i które są oznaczone etykietą oraz zostały ostatnio zmodyfikowane.Then, you can create file policies in Cloud App Security to control files that are shared inappropriately and find files that are labeled and were recently modified.

  • Ponadto można uruchomić alerty dotyczące działań związanych z zastrzeżonymi plikami.In addition, you can trigger alerts on activities related to classified files.

    tagi usługi Azure Information Protection w usłudze Cloud App Security

  • Można również utworzyć zasadę, która automatycznie stosuje etykietę klasyfikacji do określonych plików.You can also create a policy that automatically applies a classification label to specific files.

Uwaga

Gdy etykiety usługi Azure Information Protection są wyłączone w pliku, te etykiety są wyświetlane jako wyłączone w usłudze Cloud App Security.When Azure Information Protection labels are disabled on a file, the disabled labels appear as disabled in Cloud App Security. Usunięte etykiety nie są wyświetlane.Deleted labels are not displayed.

Przykładowe zasady — poufne dane, które są udostępniane zewnętrznie w usłudze Box:Sample policy - confidential data that is externally shared on Box:

  1. Utwórz zasady dotyczące plików.Create a file policy.
  2. Ustaw nazwę, ważność i kategorię zasad.Set the policy’s name, severity, and category.
  3. Dodaj następujące filtry, aby znaleźć wszystkie poufne dane, które są udostępniane zewnętrznie w usłudze Box:Add the following filters to find all confidential data that is externally shared on Box:

zasady dotyczące poufności

Przykładowe zasady — dane o ograniczonym dostępie, które zostały ostatnio zmodyfikowane poza folderem Finance w programie SharePoint:Sample policy - restricted data that was recently modified outside the Finance folder on SharePoint:

  1. Utwórz zasady dotyczące plików.Create a file policy.
  2. Ustaw nazwę, ważność i kategorię zasad.Set the policy’s name, severity, and category.
  3. Dodaj następujące filtry, aby znaleźć wszystkie dane o ograniczonym dostępie, które zostały ostatnio zmodyfikowane, oraz wykluczyć folder Finance (Finanse) w opcji wyboru folderów:Add the following filters to find all restricted data that was recently modified, and add exclude the Finance folder in the folder selection option:

zasady dotyczące danych o ograniczonym dostępie

Możesz również ustawić alerty i powiadomienia użytkowników lub natychmiast podejmować akcję dla tych zasad.You can also choose to set alerts, user notification or take immediate action for these policies. Dowiedz się więcej o akcjach ładu.Learn more about governance actions.

Dowiedz się więcej o usłudze Azure Information Protection i skorzystaj z Samouczka Szybki start dotyczącego usługi Azure Information Protection.Learn more about Azure Information Protection and check out the Azure Information Protection Quick start tutorial.

Usługa cloud App Security i usługi Azure Information Protection integracjiCloud App Security + Azure Information Protection Integrations

Zobacz teżSee Also

Kontrola aplikacji w chmurze za pomocą zasadControl cloud apps with policies

Klienci wersji Premium mogą również wybrać usługę Cloud App Security bezpośrednio z Portalu Premium.Premier customers can also choose Cloud App Security directly from the Premier Portal.