Руководство. Миграция с классического клиента Azure Information Protection (AIP) на решение унифицированных меток

Область применения: Azure Information Protection

К чему относится: классический клиент Azure Information Protection для Windows

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения о прекращении поддержки см. в описании последнего обновления.

В этом руководстве описано, как перенести развертывание Azure Information Protection организации с классического клиента, а также управление метками и политиками меток на портале Azure в решение унифицированных меток и Microsoft 365 для меток конфиденциальности.

Затрачиваемое время. Время, необходимое для завершения миграции, зависит от того, насколько сложны ваши политики и какие функции AIP вы используете. Вы можете продолжить работу с классическим клиентом во время выполнения миграции в фоновом режиме.

В этом руководстве содержится подробное описание каждого шага, а также ссылки на соответствующие разделы в документации Майкрософт для получения дополнительных сведений.

В этом руководстве вы выполните следующие действия.

  • Узнаете о планировании миграции
  • Перенесете метки на платформу унифицированных меток
  • Узнаете, как настроить дополнительные параметры в Центре соответствия требованиям Microsoft 365.
  • Скопируете политики на платформу унифицированных меток
  • Развернете клиент унифицированных меток

Зачем переходить на решение унифицированных меток?

В дополнение к запланированному прекращению использования классического клиента переход на решение унифицированных меток позволяет эффективно защитить конфиденциальные данные в цифровой среде. После переноса используйте Microsoft Information Protection (MIP) в облачных службах Microsoft 365, в локальной среде, в приложениях SaaS сторонних производителей и т. д.

MIP поддерживает встроенные службы меток для многих основных функций защиты информации, позволяя резервировать использование клиента только для дополнительных функций, которые не поддерживаются встроенными средствами добавления меток.

  • Снижение затрат на обслуживание путем развертывания и обслуживания меньшего количества дополнительного программного обеспечения
  • Повышение производительности Office без использования дополнительных надстроек
  • Оптимизация управления метками и политиками защиты в AIP, Office 365 и Windows с помощью Центра соответствия требованиям Microsoft 365.

Дополнительные сведения см. в блоге, посвященном общим сведениям о переходе на унифицированные метки.

Планирование миграции

Хотя большинство функциональных возможностей, доступных для классического клиента AIP, также доступно для клиента унифицированных меток, одни функции еще не полностью доступны, а другие настроены по-разному для добавления унифицированных меток.

Ознакомьтесь со следующими статьями, чтобы понять, как используемые функции Information Protection могут отличаться при использовании клиента унифицированных меток:

Совет

При наличии задокументированных различий между клиентами, которые влияют на поведение конечных пользователей, рекомендуется ознакомить пользователей с этими изменениями перед развертыванием клиента унифицированных меток и публикации новой политики.

После того как вы запланировали миграцию и поняли предстоящие изменения, можно приступать к миграции меток на платформу унифицированных меток.

Перенос меток на платформу унифицированных меток

После того как вы запланировали перенос и учли различия в способах управления между клиентами, можно активировать платформу унифицированных меток и перенести метки.

Во время переноса можно продолжать использовать классический клиент AIP и политики в области Azure Information Protection на портале Azure. Эти два клиента могут работать параллельно без дополнительной настройки.

  1. Войдите на портал Azure от имени администратора с одной из следующих ролей:

    • администратор соответствия требованиям;
    • администратор соответствия данных требованиям;
    • администратор безопасности;
    • Глобальный администратор
  2. В области Azure Information Protection в разделе Управление слева выберите Унифицированные метки.

    В верхней части страницы выберите Активировать, чтобы активировать унифицированные метки.

    Метки копируются из Azure Information Protection в платформу унифицированных меток и теперь хранятся в обеих системах.

    Откройте Центр соответствия требованиям Microsoft 365, чтобы сравнить отображаемые метки в нем и в области Azure Information Protection. Содержимое обоих списков должно быть одинаковым. Например, при сравнении в Центре безопасности и соответствия требованиям Microsoft 365 содержимое должно быть следующим:

    Сравнение перенесенных меток между порталом Azure и Центром безопасности и соответствия требованиям

    Примечание

    При необходимости продолжайте использовать метки в обеих системах, пока не завершите миграцию. Дополнительные сведения см. в разделе Синхронизация правок меток.

Перейдите к копированию политик на платформу унифицированных меток.

Синхронизация правок меток

После переноса меток в Центр соответствия требованиям Microsoft 365 все изменения, которые вы продолжаете вносить в перенесенные метки на портале Azure, автоматически синхронизируются с теми же метками в Центре соответствия требованиям Microsoft 365.

Однако изменения, которые вносятся в перенесенные метки в Центре соответствия требованиям Microsoft 365, не синхронизируются с порталом Azure. Если вы вносите изменения в Центре соответствия требованиям Microsoft 365 и хотите, чтобы они были отражены на портале Azure, вернитесь на портал, чтобы опубликовать обновление.

Чтобы опубликовать обновленную метку на портале Azure, сделайте следующее:

  1. В области Azure Information Protection в разделе Управление слева выберите Унифицированные метки.

  2. Нажмите кнопку Опубликовать.

Примечание

Этот шаг требуется только в том случае, если вы внесли изменения в перенесенные метки в платформе унифицированных меток и хотите, чтобы эти изменения были синхронизированы обратно с порталом Azure.

Миграция меток с помощью PowerShell

Вы также можете использовать PowerShell для переноса существующих меток, например для среды GCC High.

Используйте командлет New-Label, чтобы перенести существующие метки конфиденциальности.

Например, если метка конфиденциальности зашифрована, можно использовать командлет New-Label следующим образом:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Дополнительные сведения о работе в средах GCC, GCC High и DoD см. в описании службы Azure Information Protection Premium для государственных организаций.

Копирование политик на платформу унифицированных меток

Скопируйте все политики, сохраненные на портале Azure, которые должны быть доступны, поскольку они находятся на платформе унифицированных меток.

Сейчас эта функция доступна в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Примечание

При копировании политик действуют определенные ограничения. Вы также можете начать с нуля и создать политики вручную в Центре соответствия требованиям Microsoft 365. Дополнительные сведения см. в документации по Microsoft 365.

Чтобы скопировать политики, выполните следующие действия.

  1. Следует учесть следующие моменты и подтвердить, что вы действительно хотите скопировать политики в текущий момент:

    Оценка Описание
    При копировании политик копируются все политики Копирование политик не поддерживает копирование лишь конкретных политик — копируются либо все политики, либо ни одна из них.
    После копирования политики автоматически публикуются После копирования политик в клиент унифицированных меток они автоматически публикуются на всех клиентах, поддерживающих унифицированные метки.

    Важно. Не копируйте политики, если вы не хотите их публиковать.
    При копировании существующие политики с одинаковыми именами перезаписываются Если в Центре соответствия требованиям Microsoft 365 существует политика с таким же именем, при копировании политик все параметры, определенные в этой политике, будут перезаписаны.

    Всем политикам, скопированным из портала Azure, присваиваются имена со следующим синтаксисом: AIP_<policy name>.
    Некоторые параметры клиента не копируются Некоторые параметры клиента не копируются в платформу унифицированных меток. Их следует настроить вручную после миграции.

    Дополнительные сведения см. в статье Настройка дополнительных параметров добавления меток
  2. Войдите на портал Azure от имени администратора с одной из следующих ролей:

    • администратор соответствия требованиям;
    • администратор соответствия данных требованиям;
    • администратор безопасности;
    • Глобальный администратор
  3. В области Azure Information Protection в разделе Управление слева выберите Унифицированные метки.

  4. Выберите Копировать политики (предварительная версия) . Все политики, сохраненные на портале Azure, будут скопированы в Центр соответствия требованиям Microsoft 365.

    Если в Центре соответствия требованиям Microsoft 365 есть политики с такими же именами, они будут перезаписаны с использованием параметров с портала Azure.

    Важно!

    Если сейчас используются метки Microsoft Cloud App Security и Azure Information Protection, убедитесь, что вы опубликовали в Центре соответствия требованиям Microsoft 365 по крайней мере одну политику с минимальным набором меток, даже если политика ограничена одним пользователем.

    Эта политика необходима Microsoft Cloud App Security для выявления всех меток в Центре соответствия требованиям Microsoft 365 и их отображения на портале Microsoft Cloud App Security.

Теперь, когда вы перенесли и метки, и политики, можно переходить к настройке дополнительных параметров меток с учетом любых расширенных конфигураций, которые не были перенесены.

Настройка дополнительных параметров меток

Как описано на этапе планирования, некоторые дополнительные параметры меток не переносятся автоматически — их следует перенастроить для платформы унифицированных меток.

Дополнительные сведения см. в разделе:

Настройка дополнительных параметров добавления меток в PowerShell

  1. Подключитесь к модулю PowerShell для Центра безопасности и соответствия требованиям Office 365. Дополнительные сведения см. в документации по Центру безопасности и соответствия требованиям PowerShell.

  2. Чтобы задать дополнительный параметр метки, используйте командлет Set-Label, указав параметр AdvancedSettings, метку, к которой нужно применить параметр, а также пары "ключ-значение" для определения параметра.

    Используйте следующий синтаксис:

    Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
    

    Где:

    • <LabelGUIDorName>  — определение метки с использованием имени метки или GUID;
    • <Key>  — ключ или имя дополнительного параметра, который вы хотите использовать для устройства;
    • <Value>  — значение параметра, которое необходимо определить; заключите значение в кавычки и разделите несколько значений запятыми. Пробелы не поддерживаются.
  3. Начните с настройки следующих дополнительных параметров:

    Дополнительные сведения о доступных расширенных конфигурациях см. в разделе Руководство администратора. Настраиваемые конфигурации для клиента унифицированных меток Azure Information Protection.

Примечание

Для использования параметров, определенных для платформы унифицированных меток, конечные пользователи должны установить на свои компьютеры клиент унифицированных меток.

Эти дополнительные параметры недоступны для пользователей, у которых имеются только встроенные метки, предоставляемые Office 365.

Определение условий добавления меток в Центре соответствия требованиям Microsoft 365

Унифицированные метки обеспечивают большую гибкость и точность, чем их аналоги, созданные на портале Azure.

Чтобы использовать функции условия добавления унифицированных меток, вручную создайте эти условия в Центре соответствия требованиям Microsoft 365.

Дополнительные сведения см. в статье Сведения о метках конфиденциальности в документации Microsoft 365.

Совет

Если у вас есть настраиваемые типы конфиденциальных данных, созданные для использования с Microsoft Office 365 DLP или Microsoft Cloud App Security, примените их "как есть" к унифицированным меткам. Дополнительные сведения см. в документации по Microsoft 365.

Развертывание клиента унифицированных меток

Разверните клиент, поддерживающий унифицированные метки, на компьютерах пользователей, чтобы убедиться, что они смогут использовать соответствующие политики и метки.

У пользователей должен быть поддерживаемый клиент, который может подключаться к Центру соответствия требованиям Microsoft 365 и извлекать политику добавления унифицированных меток.

Дополнительные сведения см. в разделе:

Платформы, отличные от Windows

Для пользователей платформ, отличных от Windows, возможности добавления унифицированных меток интегрированы непосредственно в клиенты Office, и они могут использовать опубликованные вами метки сразу же.

Клиенты Office со встроенными возможностями добавления унифицированных меток включают:

  • Клиенты Office для macOS
  • Office в Интернете (предварительная версия)
  • Outlook Web App
  • Outlook для мобильных устройств

Дополнительные сведения об использовании унифицированных меток на этих платформах см. в разделе Применение меток конфиденциальности к файлам и электронной почте в Office на сайте службы поддержки Майкрософт.

платформы Windows

Для компьютеров Windows приложениями Microsoft 365 для предприятий используйте встроенную поддержку меток, предоставляемую в Office версий 1910 и более поздних, или установите клиент унифицированных меток Azure Information Protection, чтобы расширить функциональные возможности AIP в проводнике или PowerShell.

Дополнительные сведения см. в разделе:

Клиент унифицированных меток Azure Information Protection можно скачать в Центре загрузки Майкрософт.

Убедитесь, что для развертывания клиента используется файл AzInfoProtection_UL. Если на компьютере установлен классический клиент, при установке клиента унифицированных меток выполняется обновление на месте.

Примечание

При определении того, когда следует использовать встроенные метки и клиент унифицированных меток, следует учитывать функциональные возможности, которые в настоящее время требуются вашей организации.

Изменения для конечных пользователей классического клиента

Основное, наиболее заметное различие для конечных пользователей, использующих классический клиент Azure Information Protection, заключается в том, что вместо кнопки Защитить в приложениях Office используется кнопка Конфиденциальность.

После использования дополнительных возможностей, поддерживаемых метками конфиденциальности и унифицированными метками, конечные пользователи также увидят эти изменения в приложениях Office.

Пример:

  • Классический клиент AIP для Windows

    Кнопка защиты в классическом клиенте

  • Клиент унифицированных меток AIP для Windows

    Пример кнопки для клиента унифицированных меток в Microsoft Office

Совет

Если вы опубликовали метки и у клиентов, у которых есть встроенная поддержка, не отображается кнопка Конфиденциальность, ознакомьтесь с соответствующим руководством по устранению неполадок при необходимости.

Дальнейшие действия

После переноса меток, политик и развернутых клиентов можно приступить к управлению метками и политиками добавления меток только в Центре соответствия требованиям Microsoft 365.

При использовании платформы унифицированных меток необходимо вернуться в область Azure Information Protection на портале Azure:

Пользователям рекомендуется использовать встроенные возможности по созданию и добавлению меток в актуальных приложениях Office в Интернете, Mac, iOS и Android, а также в приложениях Microsoft 365 для предприятий.

Для использования дополнительных функций, которые пока не поддерживаются встроенными средствами добавления меток, рекомендуется использовать актуальный клиент унифицированных меток для Windows.