Руководство. Предотвращение избыточного доступа в Outlook с помощью Azure Information Protection (AIP)

Область применения: Azure Information Protection

К чему относится: Клиент унифицированных меток Azure Information Protection для Windows

Вам, как системному администратору, необходимо обеспечить защиту содержимого организации и ограничить доступ к нему только кругом доверенных пользователей. Чаще всего нарушения правил совместного использования содержимого связаны с электронной почтой. Настройте политику для предотвращения избыточного доступа в Outlook, например чтобы ограничить доступ к содержимому определенным кругом пользователей или разрешить обмениваться им только с доверенными сторонними пользователями.

Затрачиваемое время. На выполнение этого руководства потребуется около 30 минут.

В этом руководстве вы узнаете, как:

  • Настройка параметров предупреждений, запросов на обоснование и блокировки для отдельных условий добавления меток
  • Демонстрация настроенных параметров в действии.
  • Просмотр сообщений и действий пользователей, записанных в журнал событий

Предварительные требования для учебника

Прежде чем приступить к работе с этим руководством, убедитесь, что выполняются следующие требования к системе.

Предварительные требования Описание
Требования к компьютеру Убедитесь, что выполнены следующие условия.

— Компьютер под управлением ОС Windows с установленным клиентом унифицированных меток Azure Information Protection. Дополнительные сведения см. в статье Краткое руководство. Развертывание клиента унифицированных меток Azure Information Protection (AIP).

— Установка PowerShell и наличие у вас возможности запуска PowerShell с правами администратора.

— Возможность входа в Outlook. В процессе прохождения учебника будьте готовы перезапустить Outlook несколько раз.
Подписка на Azure Information Protection Вам понадобится подписка Azure, которая поддерживает Azure Information Protection.

Если у вас нет подписки, в которую входит один из этих планов, вы можете создать бесплатную учетную запись для своей организации.
Метки конфиденциальности и тестовая политика В политике задана метка конфиденциальности Общие.

Настройте метки конфиденциальности в Центре соответствия требованиям Microsoft 365. Дополнительные сведения см. в документации по Microsoft 365.

В рамках этого руководства рекомендуется использовать тестовую политику, чтобы не нарушить работу действующей политики.
Убедитесь, что у вас есть имя политики и GUID для метки Общие.

Давайте начнем.

Реализация предупреждений для сообщений электронной почты с меткой "Общие"

В этой процедуре описывается настройка политики предупреждений для пользователей Outlook перед отправкой сообщения электронной почты с меткой Общие.

Пользователи могут принять во внимание предупреждение и изменить метку или содержимое либо отправить сообщение без изменений.

  1. Запустите PowerShell на клиентском компьютере с правами администратора.

  2. Выполните следующую команду, чтобы определить предупреждающее сообщение для метки Общие. При копировании этой команды замените Global именем своей политики и длинной строкой символов с собственным идентификатором метки.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
    

    В этом примере политика называется Global, а метка Общие имеет GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e.

    Совет

    Если нужно применить этот параметр к нескольким меткам, перечислите в этом значении их GUID, разделяя их запятыми.

  3. Проверьте этот параметр в Outlook:

    1. откройте или перезапустите Outlook на клиентском компьютере, чтобы извлечь обновленные параметры.

    2. Создайте сообщение электронной почты и примените метку Общие. На панели инструментов сообщений нажмите кнопку Конфиденциальность и выберите Общие.

    3. Укажите собственный адрес электронной почты в поле Кому, в поле Тема введите Testing a warning message for the General label, после чего отправьте сообщение.

      Должно появиться следующее предупреждение с просьбой подтвердить отправку. Пример:

      Тестовое предупреждающее сообщение для метки "Общие"

    4. Представьте, что вы по ошибке хотели отправить что-то в сообщении с меткой Общие. В этом случае вам необходимо принять во внимание предупреждение и, соответственно, нажать кнопку Отмена.

      Ваше сообщение электронной почты не отправляется, но остается открытым, чтобы вы могли изменить его содержимое или метку.

    5. Вам не нужно вносить какие-либо изменения, поскольку содержимое подходит для отправки. В этом случае снова выберите Отправить. На этот раз при появлении предупреждения выберите Подтвердить и отправить.

      Сообщение отправится.

Перейдите к разделу Отображение предупреждения только для сообщений с меткой "Общие", которые отправляются сторонним получателям.

Отображение предупреждения только для сообщений с меткой "Общие", которые отправляются сторонним получателям

В этой процедуре описывается, как добавить исключение для ранее настроенного предупреждающего сообщения, чтобы оно отображалось только для сторонних получателей.

При отправке сообщения с меткой Общие получателям внутри организации это предупреждение не отображается.

  1. Запустите PowerShell на клиентском компьютере с правами администратора.

  2. Выполните следующую команду, чтобы определить доверенный домен для предупреждающих сообщений. При копировании этой команды замените Global именем своей политики, а contoso.com — доменом.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnTrustedDomains="contoso.com"}    
    

    Совет

    Если вы хотите применить этот параметр к нескольким доменам, например для добавления всех доверенных партнеров, перечислите в значении их домены, разделяя их запятыми.

  3. Проверьте этот параметр в Outlook:

    1. откройте или перезапустите Outlook на клиентском компьютере, чтобы извлечь обновленные параметры.

    2. Создайте сообщение электронной почты и примените метку Общие. На панели инструментов сообщений нажмите кнопку Конфиденциальность и выберите Общие.

    3. Укажите собственный адрес электронной почты в поле Кому, в поле Тема введите Testing a warning message for the General label, после чего отправьте сообщение.

      Сообщение электронной почты отправляется без каких-либо предупреждений.

Запрос пользователям на обоснование отправки содержимого без метки

В этой процедуре описывается, как настроить дополнительные параметры, в соответствии с которыми пользователи должны обосновать отправку содержимого без метки.

  1. Запустите PowerShell на клиентском компьютере с правами администратора.

  2. Чтобы отображать в Outlook запрос пользователям на обоснование попытки отправить сообщение электронной почты без метки, замените Global именем своей политики и выполните следующую команду:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Justify"}
    
  3. Проверьте этот параметр в Outlook:

    1. откройте или перезапустите Outlook на клиентском компьютере, чтобы извлечь обновленные параметры.

    2. Создайте новое сообщение электронной почты без метки.

      Например, если в соответствии с политикой применяется метка по умолчанию, удалите ее с помощью кнопки .

    3. Укажите собственный адрес электронной почты в поле Кому, в поле Тема введите Testing the justification message for unlabeled content, после чего отправьте сообщение.

      Откроется всплывающее окно следующего вида:

      Пример сообщения с запросом на обоснование отправки содержимого без метки

    4. Выберите один из способов. Если выбран третий вариант, Другое, в соответствии с описанием, введите в соответствующее поле пример текста.

    5. Нажмите кнопку Подтвердить и отправить.

      Сообщение отправится.

Перейдите к разделу Настройка запроса на обоснование с произвольным текстом.

Настройка запроса на обоснование с произвольным текстом

В этой процедуре описывается настройка при выборе третьего параметра для заданного по умолчанию сообщения с запросом на обоснование.

Например, вы можете привести здесь текст запроса на добавление пользователями сведений или напоминание о недопустимости отправки конфиденциальных данных.

  1. Запустите PowerShell на клиентском компьютере с правами администратора.

  2. Чтобы настроить произвольный текст в выводимом сообщении с запросом на обоснование, замените Global именем своей политики и выполните следующую команду:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
    

    Совет

    В кавычках можно указать любой необходимый текст.

  3. Проверьте этот параметр в Outlook:

    1. откройте или перезапустите Outlook на клиентском компьютере, чтобы извлечь обновленные параметры.

    2. Создайте новое сообщение электронной почты без метки.

      Например, если в соответствии с политикой применяется метка по умолчанию, удалите ее с помощью кнопки .

    3. Укажите собственный адрес электронной почты в поле Кому, в поле Тема введите Testing a customized free text justification prompt, после чего отправьте сообщение.

      Появится всплывающее окно с запросом на обоснование, содержащим заданный вами текст. Пример:

      Пример запроса на обоснование с произвольным текстом

Запрет на отправку пользователями сообщений PowerPoint без метки

В этой процедуре описывается, как заблокировать отправку пользователями файлов PowerPoint без метки из Outlook.

  1. Запустите PowerShell на клиентском компьютере с правами администратора.

  2. Чтобы заблокировать отправку содержимого без метки из Outlook, замените Global именем своей политики и выполните следующую команду:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Block"}
    
  3. Чтобы настроить блокировку только отдельных типов файлов PowerPoint, замените Global именем своей политики и выполните следующую команду:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.POTX,.POTM,.POT,.PPTX"}
    
  4. Проверьте этот параметр в Outlook:

    1. на клиентском компьютере откройте PowerPoint и создайте новый файл с расширением PPTX без метки.

    2. Откройте или перезапустите Outlook, чтобы извлечь обновленные параметры.

    3. Прикрепите файл PowerPoint без метки к новому сообщению Outlook.

    4. Укажите собственный адрес электронной почты в поле Кому, в поле Тема введите Testing sending unlabeled PowerPoint files, после чего отправьте сообщение.

      Outlook блокирует отправку сообщения электронной почты и выводит следующее сообщение:

      Пример сообщения о блокировке для вложения PowerPoint без метки

Перейдите к разделу Настройка сообщения о блокировке для сообщений PowerPoint без метки.

Настройка сообщения о блокировке для сообщений PowerPoint без метки

В этой процедуре описывается настройка сообщения, которое отображается при попытке пользователя отправить файл PowerPoint без метки сторонним получателям.

Важно!

В рамках этой процедуры переопределяются все параметры, которые были заданы ранее с помощью дополнительного свойства OutlookUnlabeledCollaborationAction. Она приводится исключительно для этого руководства.

Чтобы избежать проблем, в рабочей среде рекомендуется либо определять правила с помощью дополнительного свойства OutlookUnlabeledCollaborationAction, либо задавать сложные правила в показанном ниже JSON-файле. Использовать одновременно оба эти способа не следует.

Чтобы определить правило в JSON-файле, выполните следующие действия:

  1. Создайте JSON-файл с именем OutlookCollaborationRule_1.json, содержащий следующий код:

    {   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",
                     "LabelId" : null,
                    "Extensions": [
                                    ".PPTX",
                                    ".PPTM",
                                    ".POTX",
                                    ".POTM",
                                    ".POT",
                                    ".PPTX"
                                 ]
    
                },
                {                   
                    "type" : "EmailLabel",
                     "LabelId" : null
                }
            ]
        },      
        {           
            "type" : "Email Block",             
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Email Blocked",                 
                    "Body": "Sending PowerPoint files to external recipients requires that you label your files so that we can classify and protect Contoso content.<br><br>List of attachments that are not labeled:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso’s policies.<br><br>Label your document and send it again."              
                },          
            },          
            "DefaultLanguage": "en-us"      
        }   
      ] 
    }
    
  2. Сохраните файл OutlookCollaborationRule_1.json в расположении, доступном с клиентского компьютера.

  3. Запустите PowerShell на клиентском компьютере с правами администратора.

  4. Чтобы настроить сообщение о блокировке, скопируйте следующий код, заменив C:\OutlookCollaborationRule_1.json путем к созданному JSON-файлу, а General — именем своей политики.

    $filedata = Get-Content "C:\OutlookCollaborationRule_1.json”
    Set-LabelPolicy -Identity General -AdvancedSettings @{OutlookCollaborationRule_1 ="$filedata"}    
    

    Выполните код, чтобы реализовать параметры, определенные в JSON-файле.

  5. Проверьте этот параметр в Outlook:

    1. на клиентском компьютере откройте PowerPoint и создайте новый файл с расширением PPTX без метки.

    2. Откройте или перезапустите Outlook, чтобы извлечь обновленные параметры.

    3. Прикрепите файл PowerPoint без метки к новому сообщению Outlook.

    4. Укажите собственный адрес электронной почты в поле Кому, в поле Тема введите Testing customized blocking message for unlabeled PowerPoint files, после чего отправьте сообщение.

      Outlook блокирует отправку сообщения электронной почты и выводит следующее сообщение:

      Пользовательское сообщение о блокировке для файлов PowerPoint без метки

Перейдите к разделу Просмотр сообщений и действий пользователей, связанных с меткой "Общие", в журнале событий.

Просмотр сообщений и действий пользователей, связанных с меткой "Общие", в журнале событий

Из этого руководства вы узнали, как настроить поведение AIP в Outlook, включая сообщения с предупреждениями, запросами на обоснование и сведениями о блокировке, для предотвращения различных видов избыточного доступа. Также вы проверили поведение Outlook на локальном клиентском компьютере.

Теперь вы можете запустить средство просмотра событий Windows и просмотреть зафиксированные в журналах действия.

Чтобы проверить события ведения журнала AIP в компоненте "Просмотр событий", выполните следующие действия:

Откройте на клиентском компьютере средство просмотра событий Windows и перейдите в раздел Журналы приложений и служб > Azure Information Protection.

Вы увидите информационное событие, регистрируемое для каждой выполненной проверки, включая сведения о сообщении и реакции пользователя:

  • Сообщения с предупреждениями: Идентификатор информации 301
  • Сообщения с запросами на обоснование: Идентификатор информации 302
  • Сообщения о блокировке: Идентификатор информации 303

Пример:

Проверка наличия предупреждающих сообщений в журнале событий

В ходе первой проверки было показано предупреждение, а вы нажали кнопку Отмена. В этом случае в поле Ответ пользователя в первом событии 301 отображается Закрыто:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing a warning message for the General label.msg
Item Name: Testing a warning message for the General label
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Dismissed

Однако затем вы нажали кнопку Confirm and Send (Подтвердить и отправить), поэтому в следующем событии 301 в строке User Response указано Confirmed (Подтверждено).

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing a warning message for the General label.msg
Item Name: Testing a warning message for the General label
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Confirmed

Проверка наличия сообщений с запросами на обоснование в журнале событий

Аналогичная картина наблюдается для сообщения с запросом обоснования, которому соответствует событие 302. В первом событии в поле User Response указано значение Dismissed, а во втором — выбранное обоснование. Пример.

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the justification message for unlabeled content.msg
Item Name: Testing the justification message for unlabeled content
Process Name: OUTLOOK
Action: Justify
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
User Justification: I confirm the recipients are approved for sharing this content
Action Source: 
User Response: Confirmed

Проверка наличия сообщений о блокировке в журнале событий

В начале журнала событий приводится запись сообщения о блокировке, то есть событие 303. Пример:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing sending unlabeled PowerPoint files.msg
Item Name: Testing sending unlabeled PowerPoint files
Process Name: OUTLOOK
Action: Block
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 

Очистка ресурсов

После завершения работы с этим руководством вы можете продолжить использовать тестовую политику для справки или удалить ее для очистки ресурсов.

Если вы хотите удалить политику, делать это необходимо в Центре соответствия требованиям Microsoft 365.

Дополнительные сведения см. в документации по Microsoft 365.

После удаления перезапустите приложение Outlook на клиентском компьютере, чтобы прекратить использование в нем параметров, определенных в этом руководстве.

Дальнейшие действия

Чтобы ускорить тестирование, мы отправляли в этом учебнике сообщение электронной почты без вложений одному получателю.

Используйте те же методы при наличии нескольких получателей и меток, а также в случае с вложениями, для которых состояние метки не всегда очевидно пользователю.

Например, вы можете настроить отображение всплывающего сообщения в сообщениях электронной почты с меткой Общедоступные, к которому прикреплена презентация PowerPoint с меткой Общие.

Дополнительные сведения о расширенных свойствах и настройках Outlook см. в разделе Руководство администратора. Настраиваемые конфигурации для клиента унифицированных меток Azure Information Protection.