Стратегия развертывания АДМИНИСТРАТИВной безопасности для классификации, добавления меток и защиты

Область применения: Azure Information Protection, Office 365

К чему относится: клиент унифицированных меток и классический клиент AIP

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Выполните следующие действия в качестве рекомендаций по подготовке, внедрению и управлению Azure Information Protection для вашей организации, когда необходимо классифицировать, пометить и защитить данные.

Этот план рекомендуется для всех клиентов с поддержкой подписки. К дополнительным возможностям относятся обнаружение конфиденциальной информации и маркировка документов и сообщений электронной почты для классификации.

Метки также могут применять защиту, упрощая этот шаг для пользователей.

Процесс развертывания

Выполните следующие действия:

  1. Подтверждение подписки и назначение лицензий пользователей
  2. Подготовка клиента для использования Azure Information Protection
  3. Настройка и развертывание классификации и добавления меток
  4. Подготовка к защите данных
  5. Настройка меток и параметров, приложений и служб для защиты данных
  6. Использование и отслеживание решений для защиты данных
  7. Администрирование службы защиты для учетной записи клиента в соответствии с потребностями

Совет

Уже используете защиту Azure Information Protection? Вы можете пропустить многие из этих шагов и сосредоточиться на шагах 3 и 5,1.

Подтверждение подписки и назначение лицензий пользователей

Убедитесь, что у вашей организации есть подписка, включающая необходимые функции и функции. Эти сведения можно найти на странице цен на Azure Information Protection .

Затем назначьте лицензии из этой подписки каждому пользователю в организации, который будет заниматься классификацией, добавлением меток, а также защитой документов и сообщений электронной почты.

Важно!

Не назначайте лицензии пользователей в бесплатной подписке RMS для частных лиц и не используйте эту лицензию для администрирования службы Rights Management Azure для вашей организации.

Эти лицензии отображаются как Rights Management Adhoc в Центре администрирования Microsoft 365 и RIGHTSMANAGEMENT_ADHOC при запуске командлета Azure AD PowerShell, Get-MsolAccountSku.

Дополнительные сведения см. в разделе RMS для частных лиц и Azure Information Protection.

Подготовка клиента для использования Azure Information Protection

Прежде чем приступить к работе с Azure Information Protection, убедитесь, что у вас есть учетные записи пользователей и группы в Microsoft 365 или Azure Active Directory, которые точка административного доступа может использовать для проверки подлинности и авторизации пользователей.

При необходимости создайте эти учетные записи и группы или синхронизируйте их из локального каталога.

Дополнительные сведения см. в статье Подготовка пользователей и групп к использованию в Azure Information Protection.

Настройка и развертывание классификации и добавления меток

Выполните следующие действия:

  1. Проверка файлов (необязательно, но рекомендуется)

    Разверните клиент Azure Information Protection, а затем установите и запустите средство проверки , чтобы найти конфиденциальную информацию в локальных хранилищах данных.

    Данные, обнаруженные средством проверки, помогут вам определить таксономию классификации, предоставят ценные сведения о необходимых метках и файлах, требующих защиты.

    Режим обнаружения сканера не требует настройки метки или таксономии, поэтому он подходит на раннем этапе развертывания. Эту конфигурацию сканера также можно использовать в параллельном режиме со следующими шагами развертывания, пока не будет настроена Рекомендуемая или автоматическая маркировка.

  2. Настройте политику безопасности по умолчанию.

    Если у вас еще нет стратегии классификации, используйте политику по умолчанию в качестве основания для определения меток, которые понадобятся для ваших данных. При необходимости настройте эти метки в соответствии с вашими потребностями.

    Например, может потребоваться перенастроить метки со следующими сведениями:

    • Убедитесь, что метки поддерживают ваши решения по классификации.
    • Настройка политик для ручного добавления меток пользователями
    • Напишите руководство пользователя, чтобы объяснить, какая метка должна применяться в каждом сценарии.
    • Если политика по умолчанию была создана с метками, которые автоматически применяют защиту, может потребоваться временно удалить параметры защиты или отключить метку при проверке параметров.

    Метки чувствительности и политики меток для клиента единой метки настраиваются в центре соответствия Microsoft 365. Дополнительные сведения см. в разделе сведения о метках чувствительности.

  3. Развертывание клиента для пользователей

    После настройки политики разверните клиент Azure Information Protection для пользователей. Чтобы выбрать метки, укажите обучение пользователей и конкретные инструкции.

    Дополнительные сведения см. в разделе руководств администратора клиента единой метки.

  4. Введение в более сложные конфигурации

    Дождитесь, пока ваши пользователи начнут работать с метками своих документов и сообщений электронной почты. Когда вы будете готовы, Познакомьтесь с расширенными конфигурациями, такими как:

    • Применение меток по умолчанию
    • Предложит пользователям выровнять обоснование, если выбрать метку с более низким уровнем классификации или удалить метку
    • Предписывания, что все документы и сообщения электронной почты имеют метку
    • Настройка заголовков, нижних колонтитулов и водяных знаков
    • Рекомендуемые и автоматические метки

    Дополнительные сведения см. в разделе Руководство администратора. пользовательские конфигурации.

    Совет

    Если вы настроили метки для автоматического добавления меток, запустите средство проверки Azure Information Protection в локальном хранилище данных в режиме обнаружения и сопоставьте политику.

    Запуск сканера в режиме обнаружения говорит о том, какие метки будут применены к файлам, что поможет вам точно настроить конфигурацию метки и подготовиться к классификации и защите файлов в больших объемах.

Подготовка к защите данных

Повысьте уровень защиты данных для важных данных после того, как пользователи смогут помечать документы и сообщения электронной почты.

Чтобы подготовиться к защите данных, выполните следующие действия.

  1. Определите, как вы хотите управлять ключом клиента.

    Примите решение, будет ли Майкрософт управлять ключом клиента (по умолчанию), или вы хотите создать ключ клиента и управлять им самостоятельно (сценарий BYOK).

    Дополнительные сведения и параметры для дополнительных локальных средств защиты см. в статье планирование и реализация ключа клиента Azure Information Protection.

  2. Установите PowerShell для административной установки.

    Установите модуль PowerShell для аипсервице по крайней мере на одном компьютере с доступом к Интернету. Это действие можно выполнить сейчас или позднее.

    Дополнительные сведения см. в разделе Установка модуля PowerShell для аипсервице.

  3. Только AD RMS: перенос ключей, шаблонов и URL-адресов в облако.

    Если в настоящее время используется AD RMS, выполните миграцию, чтобы переместить ключи, шаблоны и URL-адреса в облако.

    Дополнительные сведения см. в статье Переход с AD RMS на службу Information Protection.

  4. Активация защиты.

    Активируйте службу защиты, чтобы начать защищать документы и электронные письма. Если развертывание выполняется в несколько этапов, настройте элементы управления адаптации пользователей, чтобы ограничить возможность применения защиты пользователями.

    Дополнительные сведения см. в статье об активации службы защиты в Azure Information Protection.

  5. Рассмотрите возможность ведения журнала использования (необязательно).

    Используйте ведение журнала для отслеживания использования службой защиты в Организации. Это действие можно выполнить сейчас или позднее.

    Дополнительные сведения см. в разделе Ведение журнала и анализ использования защиты из Azure Information Protection.

Настройка меток и параметров, приложений и служб для защиты данных

Выполните следующие действия:

  1. Обновите метки, чтобы применить защиту.

    Дополнительные сведения см. в статье Ограничение доступа к содержимому с помощью шифрования в метках конфиденциальности.

    Важно!

    Пользователи могут применять метки в Outlook, которые применяют защиту Rights Management, даже если Exchange не настроен для управления правами на доступ к данным (IRM).

    Тем не менее, пока Exchange не будет настроен для использования IRM или Microsoft 365 шифрования сообщений с новыми возможностями, ваша организация не сможет воспользоваться всеми функциями Azure Rights Management Protection с Exchange. Эта дополнительная конфигурация описана далее в этом списке (п. 2 для Exchange Online и п. 5 для Exchange в локальной среде).

  2. Настройка приложений и служб Office

    Настройка приложений и служб Office для функций управления правами на доступ к данным (IRM) в Microsoft SharePoint или Exchange Online.

    Дополнительные сведения см. в статье Настройка приложений для Azure Rights Management.

  3. Настройка функции суперпользователя для восстановления данных

    Если у вас есть ИТ-службы, которым требуется проверять файлы, защищаемые с помощью Azure Information Protection, например решения по предотвращению утечек данных (DLP), шлюзы шифрования содержимого (CEG) и продукты для защиты от вредоносных программ, настройте учетные записи таких служб в качестве суперпользователей для Azure Rights Management.

    Дополнительные сведения см. в разделе Настройка суперпользователей для Azure Information Protection и служб обнаружения или восстановления данных.

  4. Классификация и защита файлов в пакетном режиме

    Для локальных хранилищ данных запустите средство проверки Azure Information Protection в режиме принудительного применения, чтобы задать метки для файлов автоматически.

    Для файлов на компьютерах используйте командлеты PowerShell для классификации и защиты файлов. Дополнительные сведения см. в разделе Использование PowerShell с Azure Information Protection единым клиентом меток.

    Для хранилищ данных на основе облака используйте Azure Cloud App Security.

    Совет

    В то время как классификация и защита существующих файлов не является одним из основных вариантов использования Cloud App Security, документированные решения могут помочь вам в обеспечении секретности и защиты файлов.

  5. Развертывание соединителя для библиотек с защитой IRM на сервере SharePoint, а также сообщений электронной почты с защитой IRM для локального сервера Exchange

    При наличии локальных сред SharePoint и Exchange и использовании их функций управления правами на доступ к данным (IRM) установите и настройте соединитель управления правами.

    Дополнительные сведения см. в разделе Развертывание соединителя Microsoft Rights Management.

Использование и отслеживание решений для защиты данных

Теперь вы можете отслеживать использование настроенных меток в Организации и подтверждать, что вы защищаете конфиденциальную информацию.

Дополнительные сведения см. на следующих страницах:

Администрирование службы защиты для учетной записи клиента в соответствии с потребностями

Начав использовать службу защиты, вы можете создавать сценарии и автоматизировать административные изменения при помощи PowerShell. PowerShell также может потребоваться для некоторых расширенных конфигураций.

Дополнительные сведения см. в статье Администрирование защиты из Azure Information Protection с помощью PowerShell.

Ссылки на классические клиентские среды

Относится только к классическому классу "административный клиент"

Если вы используете классическое клиент, вместо перечисленных выше ссылок используйте следующие ссылки:

Совет

Вы также можете заинтересовать план развертывания Azure Information Protection только для защиты, который поддерживается только для классического клиента.

Дальнейшие шаги

При развертывании Azure Information Protection может оказаться полезным ознакомиться с часто задаваемыми вопросами, известными проблемамии страницей сведений и технической поддержки для получения дополнительных ресурсов.