Konfigurowanie szablonów usługi Azure Information Protection i zarządzanie nimi

  • Artykuł

Szablony ochrony, znane również jako szablony Rights Management, to grupa ustawień ochrony zdefiniowanych przez administratora dla usługi Azure Information Protection. Te ustawienia obejmują wybrane prawa użytkowania dla autoryzowanych użytkowników oraz mechanizmy kontroli dostępu do wygasania i dostępu w trybie offline. Te szablony są zintegrowane z zasadami usługi Azure Information Protection:

Jeśli masz subskrypcję obejmującą klasyfikację, etykietowanie i ochronę (Azure Information Protection P1 lub P2):

  • Szablony, które nie są zintegrowane z etykietami dzierżawy, są wyświetlane w sekcji Szablony ochrony po etykietach w okienku Azure Information Protection — Etykiety. Aby przejść do tego okienka, wybierz opcję menu Etykiety klasyfikacji>. Możesz przekonwertować te szablony na etykiety lub połączyć je podczas konfigurowania ochrony etykiet.

Jeśli masz subskrypcję obejmującą tylko ochronę (subskrypcję Microsoft 365 obejmującą usługę Azure Rights Management):

  • Szablony dzierżawy są wyświetlane w sekcji Szablony ochrony w okienku Azure Information Protection — Etykiety. Aby przejść do tego okienka, wybierz opcję menu Etykiety klasyfikacji>. Nie są wyświetlane żadne etykiety. Widoczne są również ustawienia konfiguracji specyficzne dla klasyfikacji i etykietowania, ale te ustawienia nie mają wpływu na szablony lub nie można ich skonfigurować.

Jeśli na przykład użytkownicy będą zgłaszać, że mogą otwierać chronioną zawartość, ale nie mają potrzebnych im praw, problem może polegać na tym, że użytkownik nie należy do właściwej grupy skonfigurowanej dla szablonu Rights Management. Może się też okazać, że szablon wymaga ponownego skonfigurowania użytkownika lub grupy, zgodnie z opisem w tym artykule.

Uwaga

W niektórych aplikacjach i usługach jako szablon może być wyświetlany komunikat Nie przesyłaj dalej i szyfruj (Szyfruj). Nie są to szablony, które można edytować lub usuwać, ale opcje, które są domyślnie dostępne w usłudze Exchange.

Szablony domyślne

Po uzyskaniu subskrypcji usługi Azure Information Protection lub subskrypcji Microsoft 365, która obejmuje usługę Azure Rights Management, dla dzierżawy są automatycznie tworzone dwa szablony domyślne. Te szablony ograniczają dostęp do autoryzowanych użytkowników w organizacji. Po utworzeniu tych szablonów mają uprawnienia wymienione w dokumentacji Konfigurowanie praw użytkowania dla usługi Azure Information Protection.

Ponadto szablony są skonfigurowane tak, aby zezwalały na dostęp w trybie offline przez siedem dni i nie mają daty wygaśnięcia.

Uwaga

Możesz zmienić te ustawienia oraz nazwy i opisy szablonów domyślnych. Ta możliwość nie była możliwa w klasycznym portalu Azure i pozostaje nieobsługiwana dla programu PowerShell.

Te szablony domyślne ułatwiają tobie i innym osobom natychmiastowe rozpoczęcie ochrony poufnych danych organizacji. Te szablony mogą być używane z etykietami usługi Azure Information Protection lub samodzielnie z aplikacjami i usługami, które mogą używać szablonów Rights Management.

Możesz również utworzyć własne szablony niestandardowe. Prawdopodobnie potrzebne będzie tylko kilka szablonów, ale można mieć maksymalnie 500 szablonów niestandardowych zapisanych na platformie Azure.

Prawa zawarte w szablonach domyślnych

W poniższej tabeli wymieniono prawa użytkowania, które są uwzględniane podczas tworzenia szablonów domyślnych. Prawa użytkowania są wymienione według ich nazwy pospolitej.

Te szablony domyślne są tworzone podczas zakupu subskrypcji, a nazwy i prawa użytkowania można zmienić w Azure Portal i za pomocą programu PowerShell.

Nazwa wyświetlana szablonu Prawa użytkowania od 6 października 2017 r. do bieżącej daty Prawa użytkowania przed 6 października 2017 r.
<nazwa> organizacji — tylko widok poufny

lub

Wysoce poufne \ Wszyscy pracownicy		 Wyświetl, Otwórz, Odczyt; Kopiuj; Wyświetl prawa; Zezwalaj na makra; Drukuj; Do przodu; Odpowiedz; Odpowiedz wszystkim; Zapisz; Edytowanie zawartości, edytowanie Wyświetl, Otwórz, Odczytaj
<nazwa> organizacji — poufne

lub

Poufne\Wszyscy pracownicy		 Wyświetl, Otwórz, Odczyt; Zapisz jako, Eksportuj; Kopiuj; Wyświetl prawa; Zmień prawa; Zezwalaj na makra; Drukuj; Do przodu; Odpowiedz; Odpowiedz wszystkim; Zapisz; Edytuj zawartość, Edytuj; Pełna kontrola Wyświetl, Otwórz, Odczyt; Zapisz jako, Eksportuj; Edytuj zawartość, Edytuj; Wyświetl prawa; Zezwalaj na makra; Do przodu; Odpowiedz; Odpowiedz wszystkim

Domyślne nazwy szablonów

Jeśli subskrypcja została niedawno uzyskana, szablony domyślne są tworzone z następującymi nazwami:

  • Poufne\Wszyscy pracownicy

  • Wysoce poufne\Wszyscy pracownicy

Jeśli subskrypcja została uzyskana jakiś czas temu, szablony domyślne mogą zostać utworzone z następującymi nazwami:

  • <nazwa> organizacji — poufne

  • <nazwa> organizacji — tylko widok poufny

Możesz zmienić nazwę (i ponownie skonfigurować) te szablony domyślne podczas korzystania z Azure Portal.

Uwaga

Jeśli nie widzisz domyślnych szablonów w okienku Azure Information Protection — Etykiety, są one konwertowane na etykiety lub połączone z etykietą. Nadal istnieją jako szablony, ale w Azure Portal są one widoczne jako część konfiguracji etykiety, która zawiera ustawienia ochrony klucza chmury. Zawsze możesz potwierdzić, jakie szablony ma dzierżawa, uruchamiając polecenie Get-AipServiceTemplate z modułu AIPService programu PowerShell.

Szablony można przekonwertować ręcznie, jak wyjaśniono w dalszej sekcji, Aby przekonwertować szablony na etykiety, a następnie zmienić ich nazwy, jeśli chcesz. Lub są one konwertowane automatycznie, jeśli domyślne zasady usługi Azure Information Protection zostały niedawno utworzone, a usługa Azure Rights Management dla dzierżawy została aktywowana w tym czasie.

Szablony, które są zarchiwizowane, są wyświetlane jako niedostępne w okienku Azure Information Protection — etykiety. Nie można wybrać tych szablonów dla etykiet, ale można je przekonwertować na etykiety.

Zagadnienia dotyczące szablonów w portalu Azure

Przed rozpoczęciem edytowania tych szablonów lub konwertowania ich na etykiety upewnij się, że znasz następujące zmiany i uwagi. Ze względu na zmiany implementacji poniższa lista jest szczególnie ważna, jeśli wcześniej zarządzane szablony były zarządzane w klasycznym portalu Azure.

  • Po edycji lub konwersji szablonu i zapisaniu zasad usługi Azure Information Protection w oryginalnych prawach użytkowania są wprowadzane następujące zmiany. W razie potrzeby możesz dodać lub usunąć indywidualne prawa użytkowania przy użyciu Azure Portal. Możesz też użyć programu PowerShell z poleceniami cmdlet New-AipServiceRightsDefinition i Set-AipServiceTemplateProperty .

    • Opcja Zezwalaj na makra (nazwa pospolita) jest automatycznie dodawana. To prawo użytkowania jest wymagane przez pasek usługi Azure Information Protection w aplikacji pakietu Office.

  • Ustawienia opublikowane i zarchiwizowane są wyświetlane odpowiednio jako Włączone: Włączone i Włączone: Wyłączone w okienku Etykieta . W przypadku szablonów, które chcesz zachować, ale nie są widoczne dla użytkowników lub usług, ustaw następujące szablony na Włączone: Wyłączone.

  • Nie można skopiować ani usunąć szablonu w Azure Portal. Po przekonwertowaniu szablonu na etykietę można skonfigurować etykietę tak, aby przestała używać szablonu, wybierając pozycję Nieskonfigurowane dla opcji Ustaw uprawnienia dla dokumentów i wiadomości e-mail zawierających tę etykietę . Możesz też usunąć etykietę. W obu scenariuszach szablon nie jest jednak usuwany i pozostaje w stanie zarchiwizowanym.

    Usuwanie szablonów przy użyciu polecenia cmdlet Remove-AipServiceTemplate programu PowerShell jest trwałe. Możesz również użyć tego polecenia cmdlet programu PowerShell dla szablonów, które nie są konwertowane na etykiety. Jednak aby upewnić się, że wcześniej chroniona zawartość może być otwierana i używana zgodnie z oczekiwaniami, zwykle zalecamy usunięcie szablonów. Najlepszym rozwiązaniem jest usunięcie szablonów tylko wtedy, gdy masz pewność, że nie zostały one użyte do ochrony dokumentów lub wiadomości e-mail w środowisku produkcyjnym. Jako środek ostrożności przed trwałym usunięciem szablonu przy użyciu programu PowerShell należy rozważyć wyeksportowanie szablonu jako kopii zapasowej przy użyciu polecenia cmdlet Export-AipServiceTemplate .

  • Obecnie edytowanie i zapisanie szablonu dla działu powoduje usunięcie konfiguracji zakresu. Odpowiednikiem szablonu o określonym zakresie w zasadach usługi Azure Information Protection jest zasada z określonym zakresem. W przypadku konwersji szablonu na etykietę możesz wybrać istniejący zakres.

    Ponadto nie można ustawić ustawienia zgodności aplikacji dla szablonu dla działu przy użyciu Azure Portal. W razie potrzeby możesz ustawić to ustawienie zgodności aplikacji przy użyciu polecenia cmdlet Set-AipServiceTemplateProperty i parametru EnableInLegacyApps .

  • Po przekonwertowaniu lub połączeniu szablonu z etykietą nie może być już używany przez inne etykiety. Ponadto ten szablon nie jest już wyświetlany w sekcji Szablony ochrony .

  • Nie można utworzyć nowego szablonu w sekcji Szablony ochrony . Zamiast tego utwórz etykietę z ustawieniem Chroń i skonfiguruj prawa użytkowania i ustawienia w okienku Ochrona . Aby uzyskać pełne instrukcje, zobacz sekcję Aby utworzyć nowy szablon.

Aby skonfigurować szablony w usłudze Azure Information Protection

  1. Jeśli jeszcze tego nie zrobiono, otwórz nowe okno przeglądarki i zaloguj się w witrynie Azure Portal. Następnie przejdź do okienka Azure Information Protection — Etykiety.

    Na przykład w polu wyszukiwania dla zasobów, usług i dokumentów: Zacznij wpisywać informacje i wybierz pozycję Azure Information Protection.

  2. W opcji menu Etykiety klasyfikacji>: w okienku Azure Information Protection — Etykiety rozwiń węzeł Szablony ochrony, a następnie znajdź szablon, który chcesz skonfigurować.

  3. Wybierz szablon, a następnie w okienku Etykieta możesz zmienić nazwę szablonu i opis, jeśli jest to wymagane, edytując nazwę wyświetlaną iopis etykiety. Następnie wybierz pozycję Ochrona , która ma wartość platformy Azure (klucz w chmurze), aby otworzyć okienko Ochrona .

  4. W okienku Ochrona można zmienić uprawnienia, wygaśnięcie zawartości i ustawienia dostępu w trybie offline. Aby uzyskać więcej informacji o konfiguracji ustawień ochrony, zobacz temat Konfigurowanie etykiety w celu zastosowania ochrony przy użyciu usługi Rights Management

    Kliknij przycisk OK , aby zachować zmiany, a następnie w okienku Etykieta kliknij przycisk Zapisz.

Uwaga

Szablon można również edytować przy użyciu przycisku Edytuj szablon w okienku Ochrona , jeśli skonfigurowano etykietę do używania wstępnie zdefiniowanego szablonu. Jeśli żadna inna etykieta nie używa również wybranego szablonu, ten przycisk konwertuje szablon na etykietę i przechodzi do kroku 5. Aby uzyskać więcej informacji na temat tego, co się stanie po przekonwertowaniu szablonów na etykiety, zobacz następną sekcję.

Aby dokonać konwersji szablonów na etykiety

Jeśli masz subskrypcję, która obejmuje klasyfikację, etykietowanie i ochronę, możesz dokonać konwersji szablonu na etykietę. Podczas konwertowania szablonu oryginalny szablon jest zachowywany, ale w Azure Portal jest teraz wyświetlany jako uwzględniony w nowej etykiecie.

Na przykład jeśli dokonano konwersji etykiety o nazwie Marketing, która przyznaje prawa użytkowania dla grupy marketingu, w portalu Azure jest ona teraz wyświetlana jako etykieta o nazwie Marketing, która ma takie same ustawienia ochrony. W przypadku zmiany ustawień ochrony w nowo utworzonej etykiecie zostaną one zmienione w szablonie, a korzystający z szablonu użytkownik lub usługa otrzyma nowe ustawienia ochrony przy następnym odświeżeniu szablonu.

Nie jest wymagana konwersja wszystkich szablonów do etykiet, ale po takiej konwersji ustawienia ochrony będą w pełni zintegrowane z pełną funkcjonalnością etykiet, dzięki czemu nie trzeba utrzymywać oddzielnych ustawień.

Aby dokonać konwersji szablonu na etykietę, kliknij prawym przyciskiem myszy szablon, a następnie wybierz opcję Konwertuj do etykiety. Aby wybrać tę opcję, można również użyć menu kontekstowego.

Szablon można również przekonwertować na etykietę podczas konfigurowania etykiety pod kątem ochrony i wstępnie zdefiniowanego szablonu przy użyciu przycisku Edytuj szablon .

Podczas konwertowania szablonu do etykiety:

  • Nazwa szablonu jest konwertowana na nazwę nowej etykiety i opis szablonu jest konwertowany na etykietkę narzędzia.

  • Jeśli stan szablonu został opublikowany, to ustawienie jest mapowane na Włączone: Włączone dla etykiety, która będzie wyświetlana jako etykieta dla użytkowników po następnym opublikowaniu zasad usługi Azure Information Protection. Jeśli stan szablonu został zarchiwizowany, to ustawienie jest mapowane na Włączone: Wyłączone dla etykiety i nie jest wyświetlane jako dostępna etykieta dla użytkowników.

  • Ustawienia ochrony są zachowywane i można je edytować, jeśli jest to wymagane, a także dodać inne ustawienia etykiety, takie jak znaczniki wizualne i warunki.

  • Oryginalny szablon nie jest już wyświetlany w szablonach ochrony i nie można go wybrać jako wstępnie zdefiniowany szablon podczas konfigurowania ochrony etykiety. Aby edytować ten szablon w Azure Portal, edytujesz teraz etykietę utworzoną podczas konwersji szablonu. Szablon pozostaje dostępny dla usługi Azure Rights Management i wciąż można nim zarządzać za pomocą poleceń programu PowerShell.

Aby utworzyć nowy szablon

Szablony można tworzyć przy użyciu portalu lub programu PowerShell.

Tworzenie szablonu przy użyciu programu PowerShell

Aby utworzyć nowy szablon ochrony przy użyciu programu PowerShell z określoną nazwą, opisem, zasadami i żądanym ustawieniem stanu, użyj polecenia cmdlet Add-AipServiceTemplate .

Tworzenie szablonu przy użyciu portalu

Podczas tworzenia nowej etykiety przy użyciu portalu z ustawieniem ochrony platformy Azure (klucz w chmurze) ta akcja tworzy nowy szablon niestandardowy, do którego następnie można uzyskać dostęp za pomocą usług i aplikacji integrujących się z szablonami Rights Management.

  1. W menu Etykiety klasyfikacji>: w okienku Azure Information Protection — Etykiety wybierz pozycję Dodaj nową etykietę.

  2. W okienku Etykieta zachowaj wartość domyślną Włączone: Włączone, a następnie wprowadź nazwę etykiety i opis nazwy i opisu szablonu.

  3. W sekcji Ustaw uprawnienia do dokumentów i wiadomości e-mail zawierających tę etykietę wybierz pozycję Chroń, a następnie Ochrona:

    Configure protection for an Azure Information Protection label

  4. W okienku Ochrona można zmienić uprawnienia, wygaśnięcie zawartości i ustawienia dostępu w trybie offline. Aby uzyskać więcej informacji o konfiguracji ustawień ochrony, zobacz temat Konfigurowanie etykiety w celu zastosowania ochrony przy użyciu usługi Rights Management

    Kliknij przycisk OK , aby zachować zmiany, a następnie w okienku Etykieta kliknij przycisk Zapisz.

    W okienku Azure Information Protection — Etykiety zostanie wyświetlona nowa etykieta z kolumną PROTECTION, aby wskazać, że zawiera ona ustawienia ochrony. Te ustawienia ochrony są wyświetlane jako szablony dla aplikacji i usług, które obsługują usługę Azure Rights Management.

    Mimo że etykieta jest domyślnie włączona, szablon jest archiwizowany. Aby aplikacje i usługi mogły używać szablonu do ochrony dokumentów i wiadomości e-mail, ukończ ostatni krok w celu opublikowania szablonu.

  5. W menu Zasady klasyfikacji> wybierz zasady, które mają zawierać nowe ustawienia ochrony. Następnie wybierz pozycję Dodaj lub usuń etykiety. W okienku Zasady: dodaj lub usuń etykiety , wybierz nowo utworzoną etykietę zawierającą ustawienia ochrony, wybierz przycisk OK, a następnie wybierz pozycję Zapisz.

Następne kroki

Może upłynąć do 15 minut, aż komputer z uruchomionym klientem usługi Azure Information Protection uzyska te zmienione ustawienia. Aby uzyskać informacje dotyczące sposobu, w jaki komputery i usługi pobierają oraz odświeżają szablony, zobacz Odświeżanie szablonów dla użytkowników i usług.

Pamiętaj, aby podać użytkownikom instrukcje dotyczące szablonów do wybrania, czy nazwa i opis szablonu nie są wystarczające, aby wybrać odpowiedni szablon.

Wszystko, co można skonfigurować w Azure Portal do tworzenia szablonów i zarządzania nimi, można to zrobić za pomocą programu PowerShell. Ponadto program PowerShell udostępnia więcej opcji, które nie są dostępne w portalu. Aby uzyskać więcej informacji, zobacz Dokumentacja programu PowerShell dla szablonów ochrony.

Aby uzyskać więcej informacji o konfigurowaniu zasad usługi Azure Information Protection, użyj linków w sekcji Konfigurowanie zasad organizacji.