Integracja z usługą Azure Information ProtectionAzure Information Protection integration

Dotyczy: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Microsoft Cloud App Security umożliwia zastosowanie etykiety klasyfikacji usługi Azure Information Protection automatycznie, z lub bez ochrony do plików akcji nadzoru w pliku zasad.Microsoft Cloud App Security lets you apply Azure Information Protection classification labels automatically, with or without protection, to files as a file policy governance action. Pliki można także badać przez filtrowanie zastosowano etykietę klasyfikacji w portalu usługi Cloud App Security.You can also investigate files by filtering for the applied classification label within the Cloud App Security portal. Korzystanie z klasyfikacji umożliwia zapewnia lepszy wgląd i kontrolę nad poufnymi danymi w chmurze.Using classifications enables greater visibility and control of your sensitive data in the cloud. Integrowanie usługi Azure Information Protection z usługą Cloud App Security jest bardzo proste — wystarczy zaznaczyć jedno pole wyboru.Integrating Azure Information Protection with Cloud App Security is as easy as selecting one single checkbox.

Dzięki integracji usługi Azure Information Protection w usłudze Cloud App Security, można użyć pełnych możliwości obydwu usług oraz zabezpieczanie plików w chmurze, w tym:By integrating Azure Information Protection into Cloud App Security, you can use the full power of both services and secure files in your cloud, including:

  • Możliwość stosowania etykiet klasyfikacji akcji nadzoru do plików, które odpowiadają na określone zasadyThe ability to apply classification labels as a governance action to files that match specific policies
  • Możliwość wyświetlania wszystkich plików sklasyfikowanych w lokalizacji centralnejThe ability to view all classified files in a central location
  • Możliwość badania zgodnie z poziomem klasyfikacji oraz określenia stopnia jawności poufnych danych za pośrednictwem aplikacji w chmurzeThe ability to investigate according to classification level, and quantify exposure of sensitive data over your cloud applications
  • Możliwość tworzenia zasad w celu zapewnienia prawidłowej obsługi sklasyfikowanych plikówThe ability to create policies to make sure classified files are being handled properly

Uwaga

Aby włączyć tę funkcję, należy zarówno usługa Cloud App Security i licencja dla usługi Azure Information Protection Premium P1.To enable this feature, you need both a Cloud App Security license and a license for Azure Information Protection Premium P1. Gdy obie licencje będą dostępne, usługa Cloud App Security przeprowadza synchronizację etykiety organizacji z usługą Azure Information Protection.As soon as both licenses are in place, Cloud App Security syncs the organizations labels from the Azure Information Protection service.

Wymagania wstępnePrerequisites

Usługa cloud App Security aktualnie obsługuje stosowanie etykiet klasyfikacji usługi Azure Information Protection dla następujących typów plików:Cloud App Security currently supports applying Azure Information Protection classification labels for the following file types:

  • Programu Word: docm, docx, dotm, dotxWord: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltxExcel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptxPowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • Plik PDF będzie dostępna w przyszłych wersjachPDF will be available in future versions

Ta funkcja jest obecnie dostępna dla plików przechowywanych w polu, usługi G Suite, usługi SharePoint Online i OneDrive dla firm.This feature is currently available for files stored in Box, G Suite, SharePoint Online, and OneDrive for Business. Więcej aplikacji w chmurze będzie obsługiwanych w przyszłych wersjach.More cloud apps will be supported in future versions.

Pliki, które zostały oznaczone za pomocą ochronę poza Cloud App Security nie może obecnie skanowany lub zmienione przez usługę Cloud App Security.Files that were labeled with protection outside of Cloud App Security can't currently be scanned or changed by Cloud App Security. Pliki, które zostały oznaczone (bez ochrony) może zostać przeprowadzone skanowanie zewnętrzne względem programu Cloud App Security, a usługa Cloud App Security można zastosować inną etykietę (z lub bez ochrony), zgodnie z definicją w zasadach Cloud App Security.Files that were labeled (without protection) external to Cloud App Security, can be scanned and Cloud App Security can apply a different label (with or without protection) as defined in Cloud App Security policies.

Jak to działaHow it works

Kiedy prawdopodobnie znasz etykiety klasyfikacji plików w usługi Azure Information Protection.You're probably familiar with file classification labels in Azure Information Protection. Tagi klasyfikacji usługi Azure Information Protection są widoczne w usłudze Cloud App Security.You can see the Azure Information Protection classification tags in Cloud App Security. Po zintegrowaniu usługi Cloud App Security z usługą Azure Information Protection usługa Cloud App Security skanuje pliki w następujący sposób:As soon as you integrate Cloud App Security with Azure Information Protection, Cloud App Security scans files as follows:

  1. Usługa Cloud App Security pobiera listę wszystkich etykiet klasyfikacji używanych w dzierżawie.Cloud App Security retrieves the list of all the classification labels used in your tenant. Ta akcja jest wykonywana co godzinę w celu zapewnienia aktualności listy.This action is performed every hour to keep the list up-to-date.

  2. Usługa cloud App Security skanuje następnie pliki etykiet klasyfikacji w następujący sposób:Cloud App Security then scans the files for classification labels, as follows:

    • Jeśli włączono automatyczne skanowanie nowe lub zmodyfikowane pliki są dodawane do kolejki skanowania i wszystkie istniejące pliki i repozytoriów będzie można przeskanowane, klasyfikować i chronić.If you enabled automatic scan, all new or modified files are added to the scan queue and all existing files and repositories will be scanned, classified, and protected.
    • Jeśli ustawiono zasady dotyczące plików w celu wyszukania etykiet klasyfikacji, pliki te są dodawane do kolejki skanowania etykiet klasyfikacji.If you set a file policy to search for classification labels, these files are added to the scan queue for classification labels.
  3. Jak wspomniano powyżej, te operacje skanowania dotyczą etykiet klasyfikacji odnalezionych podczas początkowego skanowania, które usługa Cloud App Security jest, aby zobaczyć, które etykiety klasyfikacji są używane w Twojej dzierżawie.As noted above, these scans are for the classification labels discovered in the initial scan Cloud App Security does to see which classification labels are used in your tenant. Etykiety zewnętrzne — etykiety klasyfikacji ustawione przez użytkownika zewnętrznego względem dzierżawy — są dodawane do listy etykiet klasyfikacji.External labels, classification labels set by someone external to your tenant, are added to the list of classification labels. Jeśli nie chcesz wyszukiwać podczas skanowania, zaznacz tylko Skanuj pliki pod kątem etykiet klasyfikacji usługi Azure Information Protection z tej dzierżawy pole wyboru.If you don't want to scan for these, select the Only scan files for Azure Information Protection classification labels from this tenant check box.

  4. Po włączeniu usługi Azure Information Protection w usłudze Cloud App Security, wszystkie nowe pliki, które są dodawane do usługi Office 365 będą skanowane pod kątem etykiet klasyfikacji.After you enable Azure Information Protection on Cloud App Security, all new files that are added to Office 365 will be scanned for classification labels.

  5. Możesz utworzyć nowe zasady w usłudze Cloud App Security, które automatycznie stosować etykiety klasyfikacji.You can create new policies within Cloud App Security that apply your classification labels automatically.

Jak zintegrować usługę Azure Information Protection z usługą Cloud App SecurityHow to integrate Azure Information Protection with Cloud App Security

Włączanie usługi Azure Information ProtectionEnable Azure Information Protection

To wszystko, co trzeba zrobić, aby zintegrować usługę Azure Information Protection z usługą Cloud App Security, kliknij jedno pole wyboru.All you have to do to integrate Azure Information Protection with Cloud App Security is click a single checkbox. Przez włączenie automatycznego skanowania, możesz włączyć wyszukiwanie etykiet klasyfikacji usługi Azure Information Protection w plikach usługi Office 365 bez konieczności tworzenia zasad.By enabling automatic scan, you enable searching for Azure Information Protection classification labels on your Office 365 files without the need to create a policy. Możesz ją włączyć, jeśli pliki w Twoim środowisku chmury, które są oznaczone etykietami klasyfikacji usługi Azure Information Protection, będą widoczne w usłudze Cloud App Security.After you enable it, if you have files in your cloud environment that are labeled with Azure Information Protection classification labels, you'll see them in Cloud App Security.

Aby w usłudze Cloud App Security włączyć skanowanie plików w poszukiwaniu etykiet zabezpieczeń:To enable Cloud App Security to scan files with content inspection enabled for classification labels:

  1. W usłudze Cloud App Security w obszarze przypominającą koło zębate wybierz ustawienia strony w obszarze systemu nagłówka.In Cloud App Security, under the settings cog, select the Settings page under the System heading. Menu UstawieniaSettings menu
  2. W obszarze usługi Azure Information Protection, wybierz opcję automatycznie Skanuj pliki pod kątem etykiet klasyfikacji usługi Azure Information Protection.Under Azure Information Protection, select Automatically scan files for Azure Information Protection classification labels. Włączanie usługi azure information protectionenable azure information protection

Po włączeniu usługi Azure Information Protection, będziesz mieć możliwość Zobacz pliki, które etykiety klasyfikacji i filtrować je na etykietę w usłudze Cloud App Security.After enabling Azure Information Protection, you'll be able to see files that have classification labels and filter them per label in Cloud App Security. Gdy usługa Cloud App Security jest podłączony do aplikacji w chmurze, będziesz mógł używać funkcji integracji usługi Azure Information Protection do zastosowania usługi Azure Information Protection etykiet klasyfikacji (z lub bez ochrony) w portalu Cloud App Security, dodając je bezpośrednio do plików lub przez skonfigurowanie zasad plików w celu automatyczne stosowanie etykiet klasyfikacji akcji nadzoru.After Cloud App Security is connected to the cloud app, you'll be able to use the Azure Information Protection integration features to apply Azure Information Protection classification labels (with or without protection) in the Cloud App Security portal, by adding them directly to files or by configuring a file policy to apply classification labels automatically as a governance action.

Uwaga

Automatyczne skanowanie nie skanuje istniejące pliki, do momentu ich ponownego zmodyfikowania.Automatic scan does not scan existing files until they are modified again. Aby przeskanować istniejące pliki pod kątem etykiet klasyfikacji usługi Azure Information Protection, musisz mieć co najmniej jedne zasady plików dotyczące inspekcji zawartości.To scan existing files for Azure Information Protection classification labels, you must have at least one Content inspection File policy. Jeśli ich nie masz, utwórz nowe zasady plików, usuń wszystkie wstępnie ustawione filtry i zaznacz opcję Inspekcja zawartości.If you have none, create a new File policy, delete all the preset filters, check the Content inspection option. Następnie w obszarze Inspekcja zawartości kliknij pozycję Uwzględnij pliki pasujące do wstępnie ustawionego wyrażenia, wybierz dowolną wstępnie zdefiniowaną wartość i zapisz zasady.Then, under Content inspection, click Include files that match a preset expression and select any predefined value, and save the policy. Umożliwia to inspekcję zawartości, który automatycznie wykrywa etykiet klasyfikacji usługi Azure Information Protection.This enables content inspection, which automatically detects Azure Information Protection classification labels.

Ustawianie tagów wewnętrznych i zewnętrznychSet internal and external tags

Domyślnie usługa Cloud App Security skanuje etykiety klasyfikacji, które zostały zdefiniowane w Twojej organizacji, jak i zewnętrznych te zdefiniowane przez inne organizacje.By default, Cloud App Security scans classification labels that were defined in your organization as well as external ones defined by other organizations.

Aby ignorować etykiety klasyfikacji ustawione spoza organizacji, w portalu usługi Cloud App Security, przejdź ustawienia i usługi Azure Information Protection.To ignore classification labels set external to your organization, in the Cloud App Security portal, go under Settings and Azure Information Protection. Wybierz tylko Skanuj pliki pod kątem etykiet klasyfikacji usługi Azure Information Protection i ostrzeżeń inspekcji zawartości z tej dzierżawy.Select Only scan files for Azure Information Protection classification labels and content inspection warnings from this tenant.

ignorowanie etykiet

Zastosowanie etykiet bezpośrednio z plikamiApply labels directly to files

  1. Z pliki strony w obszarze zbadaj, wybierz plik, który chcesz chronić.From the Files page under Investigate, select the file you want to protect. Kliknij trzy kropki na końcu wiersza pliku, a następnie wybierz pozycję Zastosuj etykietę klasyfikacji.Click the three dots at the end of the file's row then choose Apply classification label.

    Chroń aplikację

    Uwaga

    Usługa cloud App Security można zastosować usługi Azure Information Protection w plikach, które są do 50 MB.Cloud App Security can apply Azure Information Protection on files that are up to 50 MB.

  2. Użytkownik jest proszony o wybierz jedną z etykiet klasyfikacji w organizacji zastosowane do pliku, a następnie kliknij przycisk Zastosuj.You're asked to choose one of your organization's classification labels to apply to the file, and click Apply. Etykieta klasyfikacji ochronyprotection classification label

  3. Po wybraniu etykiety klasyfikacji i kliknij przycisk Zastosuj, usługa Cloud App Security zastosuje etykiety klasyfikacji do oryginalnego pliku.After you choose a classification label and click apply, Cloud App Security will apply the classification label to the original file.

  4. Można również usunąć etykiety klasyfikacji, wybierając Usuń etykietę klasyfikacji opcji.You can also remove classification labels by choosing the Remove classification label option.

Aby uzyskać więcej informacji na temat jak usługa Cloud App Security i Azure Information Protection współpracują ze sobą, zobacz chronić dane przed błędami użytkowników.For more information about how Cloud App Security and Azure Information Protection work together, see Protect data against user mistakes.

Automatycznie oznaczyć plikiAutomatically label files

Etykiety klasyfikacji mogą automatycznie stosować wobec plików, tworząc zasady dotyczące plików, a ustawienie Zastosuj etykietę klasyfikacji akcji ładu.You can automatically apply classification labels to files by creating a file policy and setting Apply classification label as the governance action.

Wykonaj te instrukcje, aby utworzyć zasady dotyczące plików:Follow these instructions to create the file policy:

  1. Utwórz zasady dotyczące plików.Create a file policy.

  2. Ustaw zasady w celu uwzględnienia typu pliku, który chcesz wykryć.Set the policy to include the type of file you want to detect. Na przykład zaznacz wszystkie pliki gdzie poziom dostępu nie jest równa wewnętrzne i gdzie właściciela jednostki Organizacyjnej jest równe zespołu Finanse.For example, select all files where Access level does not equal Internal and where the Owner OU equals your finance team.

  3. W obszarze Akcje ładu w celu odpowiednią aplikację, kliknij Zastosuj etykietę klasyfikacji następnie wybierz typ etykiety.Under governance actions for the relevant app, click Apply a classification label then select the label type.

    Zastosuj etykietę

Uwaga

Możliwość automatycznie stosować etykiety usługi Azure Information Protection za pomocą zasad plików jest zaawansowaną możliwością usługi.The ability to automatically apply an Azure Information Protection label through file policy is a powerful capability. Aby chronić klientów przez pomyłkę zastosowanie etykiety do dużej liczby plików, jako środek ostrożności bezpieczeństwa jest dzienny limit 100 Zastosuj etykietę akcje na aplikację w dzierżawie.To protect customers from mistakenly applying a label to a large number of files, as a safety precaution there is a daily limit of 100 Apply label actions per app, per tenant. Po osiągnięciu dziennego limitu akcji Zastosuj etykietę tymczasowo wstrzymuje i będzie ona automatycznie kontynuowana następnego dnia (po 12:00 czasu UTC).After the daily limit is reached, the apply label action pauses temporarily and continues automatically the next day (after 12:00 UTC). Aby zwiększyć limit dla Twojej dzierżawy się z pomocą techniczną zabezpieczeń aplikacji w chmurze.To raise the limit for your tenant, contact Cloud App Security Support.

Kontrola stopnia jawności plikuControl file exposure

  • Na przykład jeśli poniżej to dokument oznaczony etykietą klasyfikacji usługi Azure Information Protection:For example, if the below is a document you labeled with an Azure Information Protection classification label:

    Przykładowy ekran usługi Azure Information Protection

  • Widać tego dokumentu w usłudze Cloud App Security przez filtrowanie według etykiety klasyfikacji usługi Azure Information Protection w pliki strony.You can see this document in Cloud App Security by filtering on the classification label for Azure Information Protection in the Files page.

    Usługa cloud App Security w porównaniu do usługi Azure Information Protection

  • Więcej informacji na temat tych plików i ich etykiet klasyfikacji można uzyskać w szufladzie pliku.You can get more information about these files and their classification labels in the file drawer. Wystarczy kliknąć odpowiedni plik w pliki strony, a następnie sprawdź, czy ma on etykiety klasyfikacji.Just click on the relevant file in the Files page and check whether it has a classification label.

    szuflada pliku

  • Następnie możesz utworzyć zasady dotyczące plików w usłudze Cloud App Security, aby kontrolować pliki, które są nieodpowiednio udostępniane i które są oznaczone etykietą oraz zostały ostatnio zmodyfikowane.Then, you can create file policies in Cloud App Security to control files that are shared inappropriately and find files that are labeled and were recently modified.

  • Można utworzyć zasadę, która automatycznie stosuje etykietę klasyfikacji do określonych plików.You can create a policy that automatically applies a classification label to specific files.

  • Można również wyzwalać alerty dotyczące działań związanych z klasyfikacji plików.You can also trigger alerts on activities related to file classification.

Uwaga

Gdy etykiety usługi Azure Information Protection są wyłączone w pliku, te etykiety są wyświetlane jako wyłączone w usłudze Cloud App Security.When Azure Information Protection labels are disabled on a file, the disabled labels appear as disabled in Cloud App Security. Usunięte etykiety nie są wyświetlane.Deleted labels are not displayed.

Przykładowe zasady — poufne dane, które są udostępniane zewnętrznie w usłudze Box:Sample policy - confidential data that is externally shared on Box:

  1. Utwórz zasady dotyczące plików.Create a file policy.
  2. Ustaw nazwę, ważność i kategorię zasad.Set the policy’s name, severity, and category.
  3. Dodaj następujące filtry, aby znaleźć wszystkie poufne dane, które są udostępniane zewnętrznie w usłudze Box:Add the following filters to find all confidential data that is externally shared on Box:

zasady dotyczące poufności

Przykładowe zasady — dane o ograniczonym dostępie, które zostały ostatnio zmodyfikowane poza folderem Finance w programie SharePoint:Sample policy - restricted data that was recently modified outside the Finance folder on SharePoint:

  1. Utwórz zasady dotyczące plików.Create a file policy.
  2. Ustaw nazwę, ważność i kategorię zasad.Set the policy’s name, severity, and category.
  3. Dodaj następujące filtry, aby znaleźć wszystkie ostatnio zmodyfikowane pliki ograniczony przy jednoczesnym wykluczaniu folder Finance w opcji wyboru folderów:Add the following filters to find all recently modified restricted files while excluding the Finance folder in the folder selection option:

zasady dotyczące danych o ograniczonym dostępie

Możesz również ustawić alerty i powiadomienia użytkowników lub natychmiast podejmować akcję dla tych zasad.You can also choose to set alerts, user notification or take immediate action for these policies. Dowiedz się więcej o akcjach ładu.Learn more about governance actions.

Dowiedz się więcej o usłudze Azure Information Protection i skorzystaj z Samouczka Szybki start dotyczącego usługi Azure Information Protection.Learn more about Azure Information Protection and check out the Azure Information Protection Quick start tutorial.

Usługa cloud App Security i usługi Azure Information Protection integracjiCloud App Security + Azure Information Protection Integrations

Następne krokiNext steps

Kontrola aplikacji w chmurze za pomocą zasadControl cloud apps with policies

Klienci wersji Premium mogą również utworzyć nowe żądanie pomocy technicznej bezpośrednio w portalu Premium.Premier customers can also create a new support request directly in the Premier Portal.