Как перенести метки Azure Information Protection в единые метки чувствительности

Область применения: Azure Information Protection, Office 365

Относится к клиентам Azure Information Protection для Windows

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Перенесите метки Azure Information Protection на единую платформу меток, чтобы их можно было использовать в качестве меток чувствительности для клиентов и служб, поддерживающих единую маркировку.

Примечание

Если ваша подписка Azure Information Protection является достаточно новой, миграция меток может оказаться ненужной, так как клиент уже находится на единой платформе меток. Дополнительные сведения см . в разделе как определить, находится ли мой клиент на единой платформе меток?

После переноса меток вы не увидите никаких отличий от классического клиента Azure Information Protection, так как этот клиент продолжит скачивать метки с политикой Azure Information Protection из портал Azure. Однако теперь метки можно использовать с Azure Information Protection единым клиентом меток и другими клиентами и службами, которые используют метки чувствительности.

Перед прочтением инструкций по переносу меток можно найти следующие часто задаваемые вопросы:

Административные роли, поддерживающие единую платформу меток

Если вы используете роли администратора для делегированного администрирования в Организации, может потребоваться внести некоторые изменения в единую платформу для создания меток:

Роль Azure AD Azure Information Protection Administrator (прежнее Information Protection администратор) не поддерживается платформой единой метки. Если эта административная роль используется в Организации для управления Azure Information Protection, добавьте пользователей с этой ролью в роли Azure AD " Администратор соответствия", " администратор данных о соответствии" или " администратор безопасности". Если вам нужна помощь с этим шагом, ознакомьтесь со статьей предоставление пользователям доступа к центру Microsoft 365 безопасность & соответствие требованиям. Эти роли также можно назначить на портале Azure AD и в центре соответствия Microsoft 365.

Кроме того, в центре соответствия Microsoft 365 можно создать новую группу ролей для этих пользователей и добавить в эту группу роли « Администратор меток » или « Конфигурация организации ».

Если вы не предоставляете этим пользователям доступ к центру Microsoft 365 соответствия с помощью одной из этих конфигураций, они не смогут настроить Azure Information Protection в портал Azure после переноса меток.

Глобальные администраторы клиента могут продолжать управлять метками и политиками как в портал Azure, так и в центре соответствия Microsoft 365 после переноса меток.

Подготовка к работе

Миграция меток имеет много преимуществ, но она необратима. Перед миграцией убедитесь, что вы осведомлены о следующих изменениях и вопросах.

Поддержка единой метки в клиенте

Убедитесь, что у вас есть Клиенты, которые поддерживают унифицированные метки и при необходимости должны быть подготовлены для администрирования как в портал Azure (для клиентов, которые не поддерживают унифицированные метки), так и в центре соответствия Microsoft 365 (для клиента, поддерживающего унифицированные метки).

Настройки политики

Политики, в том числе параметры политик и сведения о пользователях с правами доступа к ним (политики с заданной областью), а также все расширенные параметры клиентов не переносятся. Параметры для настройки этих параметров после переноса меток включают следующие.

Важно!

Не все параметры из перенесенной метки поддерживаются центром соответствия Microsoft 365. Используйте таблицу в параметрах метки, которые не поддерживаются в разделе Центр соответствия Microsoft 365 , чтобы определить эти параметры и рекомендуемые действия.

Шаблоны защиты

  • Шаблоны, которые используют облачный ключ и являются частью конфигурации метки, также переносятся вместе с меткой. Другие шаблоны защиты не переносятся.

  • Если у вас есть метки, настроенные по готовому шаблону, измените их и выберите Задать разрешения, чтобы настроить в этих метках те же параметры защиты, что были в шаблоне. Метки с предопределенными шаблонами не блокируют перенос подписей, но эта конфигурация меток не поддерживается в Microsoft 365 центре соответствия требованиям.

    Совет

    Для повторной настройки этих меток может оказаться полезным иметь два окна браузера: одно окно, в котором можно нажать кнопку изменить шаблон для метки, чтобы просмотреть параметры защиты, а другое окно — настроить те же параметры при нажатии кнопки задать разрешения.

  • После переноса метки с параметрами облачной защиты в результирующей области шаблона защиты указывается область, определенная в портал Azure (или с помощью модуля PowerShell Аипсервице), а также область, определенная в центре соответствия требованиям Семикрософт 365.

Отображаемые имена

Для каждой метки на портале Azure отображается только отображаемое имя метки, которое можно изменять. Пользователи видят это имя метки в своих приложениях.

Центр соответствия Microsoft 365 отображает как это отображаемое имя метки, так и имя метки. Имя метки — это начальное имя, которое указывается при создании метки, и это свойство используется серверной службой для идентификации. При переносе меток отображаемое имя остается неизменным, а имя метки переименовывается в идентификатор метки из портал Azure.

Конфликтующие отображаемые имена

Перед миграцией убедитесь в отсутствии конфликтующих отображаемых имен после завершения миграции. Отображаемые имена в иерархии меток должны быть уникальными.

Например, рассмотрим следующий список меток:

  • Public
  • Общие
  • Конфиденциально.
    • конфидентиал\хр
    • конфидентиал\финанце
  • Секрет
    • секрет\хр
    • секрет\финанце

В этом списке общедоступные, Общие, конфиденциальные и секретные имена являются родительскими метками и не могут иметь повторяющихся имен. Кроме того, конфидентиал\хр и конфидентиал\финанце находятся в одном месте в иерархии, а также не могут иметь повторяющихся имен.

Однако подметки в разных родительских элементах, например конфидентиал\хр и секрет\хр , не находятся на одном месте в иерархии и, следовательно, могут иметь одни и те же отдельные имена.

Локализованные строки в метках

Локализованные строки для меток не переносятся. Определите новые локализованные строки для перенесенных меток с помощью Microsoft Office 365 Security & соответствие требованиям PowerShell и параметра локалесеттингс для Set-Label.

Изменение перенесенных меток в центре соответствия Microsoft 365

После миграции при изменении перенесенной метки в портал Azure то же самое изменение автоматически отражается в центре соответствия Microsoft 365.

Однако при редактировании перенесенной метки в центре соответствия Microsoft 365 необходимо вернуться в область портал Azure, Azure Information Protection — Унифицированная панель меток , а затем нажать кнопку опубликовать.

Это дополнительное действие необходимо для того, чтобы Azure Information Protection клиенты (классические) получали изменения меток.

Параметры меток, которые не поддерживаются в центре соответствия Microsoft 365

Используйте следующую таблицу, чтобы узнать, какие параметры конфигурации перенесенной метки не поддерживаются центром соответствия Microsoft 365. Если у вас есть метки с этими параметрами, по завершении миграции используйте руководство по администрированию в последнем столбце перед публикацией меток в центре соответствия Microsoft 365.

Если вы не знаете, как настроены метки, просмотрите их параметры на портале Azure. Инструкции см. в руководстве по настройке политики Azure Information Protection.

Azure Information Protection клиенты (классические) могут использовать все параметры меток без каких-либо проблем, так как они по-прежнему загружают метки из портал Azure.

Конфигурация метки Поддерживаются клиентами, поддерживающими унифицированные метки Руководство по Microsoft 365 центру соответствия требованиям
Состояние "Включено" или "Отключено"

Это состояние не синхронизируется с центром соответствия Microsoft 365
Неприменимо Эквивалент — публикуется ли метка или нет.
Цвет метки, который вы выбираете в списке или указываете с помощью RGB-кода Да Нет параметра конфигурации для цвета меток. Вместо этого можно настроить цвета меток в портал Azure или использовать PowerShell.
Облачная защита или защита на основе HYOK, использующая предопределенный шаблон Нет Нет параметра конфигурации для стандартных шаблонов. Мы не рекомендуем публиковать метки с этой конфигурацией.
Облачная защита, использующая определяемые пользователем разрешения в Word, Excel и PowerPoint. Да Центр соответствия Microsoft 365 поддерживает параметр конфигурации для определяемых пользователем разрешений.

Если вы публикуете метку с этой конфигурацией, проверьте результаты применения метки из следующей таблицы.
Защита на основе HYOK с использованием определяемых пользователем разрешений для Outlook (не пересылать) Нет Нет параметра конфигурации для HYOK. Мы не рекомендуем публиковать метки с этой конфигурацией. Результаты применения метки в этом случае показаны в этой таблице.
Имя пользовательского шрифта, размер и пользовательский цвет шрифта в коде RGB для визуальной маркировки (верхний, нижний колонтитул, водяной знак) Да Конфигурация для визуальной маркировки ограничена списком цветов и размерами шрифта. Вы можете опубликовать эту метку без изменений, несмотря на то, что настроенные значения не отображаются в центре соответствия Microsoft 365.

Чтобы изменить эти параметры, используйте командлет центра безопасности Office 365 Security & соответствие требованиям. Для упрощения администрирования рассмотрите возможность изменения цвета на один из перечисленных параметров в центре Microsoft 365 соответствия требованиям.

Примечание. центр соответствия Microsoft 365 поддерживает стандартный список определений шрифтов. Пользовательские шрифты и цвета поддерживаются только с помощью командлета New-Label .

Если вы работаете с классическим клиентом, внесите эти изменения в метку в портал Azure.
Переменные в визуальной маркировке (верхний и нижний колонтитулы) Да Эта конфигурация меток поддерживается клиентами АДМИНИСТРАТИВной установки и встроенными метками Office для выбранных приложений.

Если вы работаете со встроенным обозначением с помощью приложения, которое не поддерживает эту конфигурацию, и публикация этой метки без изменений, переменные отображаются в качестве текста на клиентах вместо отображения динамического значения.

Дополнительные сведения см. в документации по Microsoft 365.
Визуальная маркировка каждого приложения Да Эта конфигурация меток поддерживается только клиентами АДМИНИСТРАТИВной установки, а не встроенными метками Office.

При работе со встроенными метками и публикации этой метки без изменений конфигурация визуальной разметки отображается как переменный текст вместо визуальных меток, настроенных для отображения в каждом приложении.
Защита "только для меня" Да Центр соответствия Microsoft 365 не позволяет сохранять параметры шифрования, которые вы примените сейчас, не указывая пользователей. В портал Azure эта конфигурация приводит к пометке, которая применяет защиту "только для меня".

В качестве альтернативы можно создать метку, которая применяет шифрование и указать пользователя с любыми разрешениями, а затем изменить связанный шаблон защиты с помощью PowerShell. Сначала используйте командлет New-аипсервицеригхтсдефинитион (см. Пример 3), а затем Set-аипсервицетемплатепроперти с параметром ригхтсдефинитионс .
Условия и связанные параметры

Включает автоматическое и рекомендуемое добавление меток и их подсказок
Неприменимо Перенастройте условия, использовав автоматическое добавление меток в качестве конфигурации, отдельной от параметров меток.

Сравнение действия параметров защиты метки

Используйте следующую таблицу, чтобы определить, каким образом одинаковая Настройка защиты для метки ведет себя по-разному, в зависимости от того, Azure Information Protection используется ли класс "Классический Клиент", Azure Information Protection унифицированный клиент меток или приложения Office, которые имеют встроенные метки (также называются "собственными заметками Office"). Различия в поведении меток могут повлиять на необходимость публикации меток, особенно если у вас есть сочетание клиентов в Организации.

Если вы не уверены, как настроены параметры защиты, просмотрите их параметры на панели Защита в портал Azure. Инструкции см. в руководстве по настройке меток для параметров защиты.

Параметры защиты, действие которых одинаково, не перечислены в таблице, за исключением следующих:

  • При использовании приложений Office со встроенными функциями меток, если не установлен клиент унифицированных меток Azure Information Protection, метки не отображаются в проводнике.
  • При использовании приложений Office со встроенными функциями меток, если защита уже была применена независимо от метки, эта защита сохраняется [1].
Параметр защиты для метки Классический клиент Azure Information Protection Клиент унифицированных меток Azure Information Protection Приложения Office со встроенными функциями меток
HYOK (AD RMS) с шаблоном Отображается в Word, Excel, PowerPoint, Outlook и проводнике.

Если метка применена:

– Защита HYOK применяется к документам и электронным письмам.
Отображается в Word, Excel, PowerPoint, Outlook и проводнике.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется.
Отображается в Word, Excel, PowerPoint и Outlook.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется[1].
HYOK (AD RMS) с определяемыми пользователем разрешениями для Word, Excel, PowerPoint и проводника Отображается в Word, Excel, PowerPoint и проводнике.

Если метка применена:

– Защита HYOK применяется к документам и электронным письмам.
Отображается в Word, Excel и PowerPoint.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется.
Отображается в Word, Excel и PowerPoint.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется.
HYOK (AD RMS) с определяемыми пользователем разрешениями для Outlook Отображается в Outlook.

Если метка применена:

– К электронным письмам применяется действие "Не пересылать" c защитой HYOK.
Отображается в Outlook.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется.
Отображается в Outlook.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется[1].
Сноска 1

В Outlook защита сохраняется с одним исключением: Если электронная почта защищена с помощью параметра только шифрование (Encrypt), эта защита будет удалена.

Сноска 2

Защита удаляется, если у пользователя есть право на использование или роль, поддерживающие такое действие:

Если у пользователя нет таких прав или ролей, метка не применяется и сохраняется первоначальная защита.

Перемещение меток Azure Information Protection

Используйте приведенные ниже инструкции для переноса клиента и Azure Information Protection меток, чтобы использовать единое хранилище меток.

Для переноса меток необходимо быть администратором соответствия, администратором данных соответствия требованиям, администратором безопасности или глобальным администратором.

  1. Если вы еще этого не сделали, откройте новое окно в браузере и войдите на портал Azure. Затем перейдите в область Azure Information Protection.

    Например, в поле поиска ресурсов, служб и документов введите Information и в результатах выберите Azure Information Protection.

  2. Щелкните пункт меню Управление и выберите Унифицированные метки.

  3. На панели Azure Information Protection — унифицированная метка выберите активировать и следуйте инструкциям в Интернете.

    Если параметр "активировать" недоступен, проверьте состояние унифицированной метки: Если вы видите " активировано", ваш клиент уже использует единое хранилище меток и вам не нужно переносить метки.

Успешно перенесенные метки могут использоваться клиентами и службами, которые поддерживают унифицированное добавление меток. Однако сначала необходимо опубликовать эти метки в центре соответствия Microsoft 365.

Важно!

Если вы изменяете метки за пределами портал Azure, для Azure Information Protection клиентов (классическая модель) вернитесь на эту Azure Information Protectionную панель меток и выберите опубликовать.

Копирование политик

После переноса меток можно выбрать вариант копирования политик. Если выбран этот параметр, однократная копия политик с параметрами политики и все Дополнительные параметры клиента отправляется в центр соответствия Microsoft 365.

Успешно скопированные политики со своими настройками и метками автоматически публикуются для пользователей и групп, назначенных политикам в портал Azure. Обратите внимание, что для глобальной политики это означает, что все пользователи. Если вы не готовы к публикации перенесенных подписок в скопированных политиках, то после копирования политик можно удалить метки из политик меток в центре меток администрирования.

Прежде чем выбрать параметр Копировать политики (Предварительная версия) на панели Azure Information Protection-унифицированные метки , учитывайте следующее.

  • Параметр Копировать политики (Предварительная версия) недоступен, пока для клиента не активирована единая метка.

  • Вы не можете выборочно выбирать политики и параметры для копирования. Все политики ( Глобальная политика и все политики с областью действия) автоматически выбираются для копирования, а все параметры, поддерживаемые как параметры политики меток, копируются. Если у вас уже есть политика меток с тем же именем, она будет перезаписана параметрами политики в портал Azure.

  • Некоторые дополнительные параметры клиента не копируются, так как для Azure Information Protection унифицированного клиента меток они поддерживаются в качестве дополнительных параметров метки , а не параметров политики. Эти дополнительные параметры меток можно настроить с помощью Microsoft 365 безопасность & центр соответствия требованиям PowerShell. Дополнительные параметры клиента, которые не копируются:

  • В отличие от миграции меток при синхронизации последующих изменений меток, действие копирование политик не синхронизирует последующие изменения политик или параметров политики. Действие политики копирования можно повторить после внесения изменений в портал Azure, а все существующие политики и их параметры будут перезаписаны снова. Или используйте командлеты Set-LabelPolicy или Set-Label с параметром адванцедсеттингс из центра обеспечения безопасности & Office 365 с помощью PowerShell.

  • Действие копирование политик проверяет следующие правила перед копированием.

    • Пользователи и группы, назначенные политике, сейчас находятся в Azure AD. Если одна или несколько учетных записей отсутствуют, то политика не копируется. Членство в группе не проверяется.

    • Глобальная политика содержит по крайней мере одну метку. Поскольку центры меток администратора не поддерживают политики меток без меток, Глобальная политика без меток не копируется.

  • Если вы скопировали политики, а затем удалите их из центра меток администратора, подождите не менее двух часов, прежде чем использовать действие копирование политик еще раз, чтобы обеспечить достаточное время для репликации удаления.

  • Политики, скопированные из Azure Information Protection, не будут иметь одинаковые имена, они будут называться префиксом AIP_. Имена политик не могут быть изменены впоследствии.

Дополнительные сведения о настройке параметров политики, дополнительных параметров клиента и параметров меток для Azure Information Protectionного клиента для создания меток см. в разделе пользовательские конфигурации для Azure Information Protection единого клиента меток из руководств администратора.

Примечание

Azure Information Protection поддержка копирования политик в настоящее время доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Клиенты и службы, которые поддерживают унифицированное добавление меток

Чтобы убедиться, что используемые клиенты и службы поддерживают унифицированные метки, обратитесь к документации, чтобы проверить, могут ли они использовать метки конфиденциальности, опубликованные в центре соответствия Microsoft 365.

Клиенты, которые сейчас поддерживают унифицированное добавление меток:
Службы, которые сейчас поддерживают унифицированное добавление меток:

Дальнейшие шаги

Руководства и советы от нашей группы по работе с клиентами:

Метки чувствительности:

Разверните унифицированный клиент МЕТОК административной установки.

Установите Azure Information Protection унифицированный клиент меток, если вы еще этого не сделали.

Дополнительные сведения можно найти в разделе