Etikettering, klassificering och skydd för Azure Information Protection (AIP)

  • Artikel

Kommentar

Letar du efter Microsoft Purview Information Protection, tidigare Microsoft Information Protection (MIP)?

Azure Information Protection-tillägget dras tillbaka och ersätts med etiketter som är inbyggda i dina Microsoft 365-appar och -tjänster. Läs mer om supportstatus för andra Azure Information Protection-komponenter.

Den nya Microsoft Purview Information Protection-klienten (utan tillägget) är för närvarande i förhandsversion och schemalagd för allmän tillgänglighet.

Azure Information Protection (AIP) är en molnbaserad lösning som gör det möjligt för organisationer att klassificera och skydda dokument och e-postmeddelanden genom att använda etiketter.

Administratören kan till exempel konfigurera en etikett med regler som identifierar känsliga data, till exempel kreditkortsinformation. I det här fallet kan alla användare som sparar kreditkortsinformation i en Word-fil se en knappbeskrivning överst i dokumentet med en rekommendation om att tillämpa relevant etikett för det här scenariot.

Etiketter kan både klassificera och eventuellt skydda dina dokument, så att du kan:

  • Spåra och kontrollera hur ditt innehåll används
  • Analysera dataflöden för att få insikt i din verksamhet – Identifiera riskfyllda beteenden och vidta korrigerande åtgärder
  • Spåra dokumentåtkomst och förhindra dataläckage eller missbruk
  • Och mer ...

Så här tillämpar etiketter klassificering med AIP

Etikettering av ditt innehåll med AIP omfattar:

  • Klassificering som kan identifieras oavsett var data lagras eller med vem de delas.
  • Visuella markeringar, till exempel sidhuvuden, sidfötter eller vattenstämplar.
  • Metadata, som har lagts till i filer och e-posthuvuden i klartext. Metadata för klartext säkerställer att andra tjänster kan identifiera klassificeringen och vidta lämpliga åtgärder

I bilden nedan har etikettering till exempel klassificerat ett e-postmeddelande som Allmänt:

Exempel på e-postfot och sidhuvuden som visar Azure Information Protection-klassificering

I det här exemplet är etiketten också:

  • Lade till en sidfot för Känslighet: Allmänt i e-postmeddelandet. Den här sidfoten är en visuell indikator för alla mottagare att den är avsedd för allmänna affärsdata som inte ska skickas utanför organisationen.
  • Inbäddade metadata i e-posthuvudena. Med rubrikdata kan e-posttjänster inspektera etiketten och teoretiskt skapa en granskningspost eller förhindra att den skickas utanför organisationen.

Etiketter kan tillämpas automatiskt av administratörer med hjälp av regler och villkor, manuellt av användare eller med hjälp av en kombination där administratörer definierar de rekommendationer som visas för användarna.

Så skyddar AIP dina data

Azure Information Protection använder Azure Rights Management-tjänsten (Azure RMS) för att skydda dina data.

Azure RMS är integrerat med andra Microsoft-molntjänster och -program, till exempel Office 365 och Microsoft Entra ID, och kan även användas med egna program eller program från tredje part och informationsskyddslösningar. Azure RMS fungerar med både lokala lösningar och molnlösningar.

Azure RMS använder krypterings-, identitets- och auktoriseringsprinciper. På samma sätt som med AIP-etiketter finns skydd som tillämpas med Azure RMS kvar i dokumenten och e-postmeddelandena, oavsett var dokumentet eller e-postmeddelandet finns, vilket säkerställer att du har kontroll över ditt innehåll även när det delas med andra personer.

Skyddsinställningar kan vara:

  • En del av etikettkonfigurationen, så att användarna både klassificerar och skyddar dokument och e-postmeddelanden genom att bara använda en etikett.

  • Används på egen hand av program och tjänster som stöder skydd men inte etikettering.

    För program och tjänster som endast stöder skydd används skyddsinställningar som Rights Management-mallar.

Du kanske till exempel vill konfigurera ett rapport- eller försäljningsprognoskalkylblad så att det endast kan nås av personer i din organisation. I det här fallet använder du skyddsinställningar för att styra om dokumentet kan redigeras, begränsa det till skrivskyddat eller förhindra att det skrivs ut.

E-postmeddelanden kan ha liknande skyddsinställningar för att förhindra att de vidarebefordras eller från att använda alternativet Svara alla.

Rights Management-mallar

Så snart Azure Rights Management-tjänsten har aktiverats finns det två standardmallar för rights management som du kan använda för att begränsa dataåtkomsten till användare i din organisation. Använd dessa mallar omedelbart eller konfigurera dina egna skyddsinställningar för att tillämpa mer restriktiva kontroller i nya mallar.

Rights Management-mallar kan användas med alla program eller tjänster som stöder Azure Rights Management.

Följande bild visar ett exempel från administrationscentret för Exchange, där du kan konfigurera Exchange Online-e-postflödesregler för att använda RMS-mallar:

Exempel på att välja mallar för Exchange Online

Kommentar

När du skapar en AIP-etikett som innehåller skyddsinställningar skapas även en motsvarande Rights Management-mall som kan användas separat från etiketten.

Mer information finns i Vad är Azure Rights Management?

AIP- och slutanvändarintegrering för dokument och e-postmeddelanden

AIP-klienten installerar informationsskyddsfältet för att Office-appen och gör det möjligt för slutanvändare att integrera AIP med sina dokument och e-postmeddelanden.

Till exempel i Excel:

Exempel på Azure Information Protection-fältet i Excel

Etiketter kan tillämpas automatiskt på dokument och e-postmeddelanden, vilket tar bort gissningar för användare eller för att följa en organisations principer, men informationsskyddsfältet gör det möjligt för slutanvändare att välja etiketter och tillämpa klassificering på egen hand.

Dessutom gör AIP-klienten det möjligt för användare att klassificera och skydda ytterligare filtyper, eller flera filer samtidigt, med hjälp av högerklicksmenyn från Windows Utforskaren. Till exempel:

Utforskaren högerklicka på Klassificera och skydda med Hjälp av Azure Information Protection

Menyalternativet Klassificera och skydda fungerar på samma sätt som informationsskyddsfältet i Office-appen, vilket gör det möjligt för användare att välja en etikett eller ange anpassade behörigheter.

Dricks

Power-användare eller administratörer kanske upptäcker att PowerShell-kommandon är mer effektiva för att hantera och ange klassificering och skydd för flera filer. Relevanta PowerShell-kommandon ingår i klienten och kan också installeras separat.

Användare och administratörer kan använda webbplatser för dokumentspårning för att övervaka skyddade dokument, se vem som kommer åt dem och när. Om de misstänker missbruk kan de också återkalla åtkomsten till dessa dokument. Till exempel:

Ikonen Återkalla åtkomst på webbplatsen för dokumentspårning

Ytterligare integrering för e-post

Att använda AIP med Exchange Online ger den ytterligare fördelen med att skicka skyddade e-postmeddelanden till alla användare, med försäkran om att de kan läsa den på valfri enhet.

Du kan till exempel behöva skicka känslig information till personliga e-postadresser som använder ett Gmail-, Hotmail- eller Microsoft-konto eller till användare som inte har något konto i Office 365 eller Microsoft Entra-ID. Dessa e-postmeddelanden ska krypteras i vila och under överföring och vara skrivskyddade av de ursprungliga mottagarna.

Det här scenariot kräver office 365-meddelandekrypteringsfunktioner. Om mottagarna inte kan öppna det skyddade e-postmeddelandet i sin inbyggda e-postklient kan de använda ett engångslösenord för att läsa känslig information i en webbläsare.

En Gmail-användare kan till exempel se följande fråga i ett e-postmeddelande som de får:

Gmail-mottagarupplevelse för OME och AIP

För användaren som skickar e-postmeddelandet är de åtgärder som krävs samma som för att skicka ett skyddat e-postmeddelande till en användare i sin egen organisation. Välj till exempel knappen Vidarebefordra inte som AIP-klienten kan lägga till i menyfliksområdet Outlook.

Alternativt kan funktionen Vidarebefordra inte integreras i en etikett som användarna kan välja för att tillämpa både klassificering och skydd på e-postmeddelandet. Till exempel:

Välja en etikett som konfigurerats för Vidarebefordra inte

Administratörer kan också automatiskt ge användarna skydd genom att konfigurera e-postflödesregler som tillämpar rättighetsskydd.

Alla Office-dokument som är kopplade till dessa e-postmeddelanden skyddas också automatiskt.

Söka efter befintligt innehåll för att klassificera och skydda

Helst ska du märka dokument och e-postmeddelanden när de skapas. Men du har förmodligen många befintliga dokument, lagrade antingen lokalt eller i molnet, och vill klassificera och skydda dessa dokument också.

Använd någon av följande metoder för att klassificera och skydda befintligt innehåll:

  • Lokal lagring: Använd Azure Information Protection-skannern för att identifiera, klassificera och skydda dokument på nätverksresurser och Microsoft SharePoint Server-webbplatser och -bibliotek.

    Skannern körs som en tjänst på Windows Server och använder samma principregler för att identifiera känslig information och tillämpa specifika etiketter på dokument.

    Du kan också använda skannern för att tillämpa en standardetikett på alla dokument i en datalagringsplats utan att granska filinnehållet. Använd skannern endast i rapporteringsläge för att identifiera känslig information som du kanske inte vet att du hade.

  • Molndatalagring: Använd Microsoft Defender för molnet-appar för att tillämpa dina etiketter på dokument i Box, SharePoint och OneDrive. En självstudiekurs finns i Tillämpa klassificeringsetiketter för Azure Information Protection automatiskt

Nästa steg

Konfigurera och se Azure Information Protection själv med våra snabbstarter och självstudier:

Om du är redo att distribuera den här tjänsten för din organisation går du till guiderna.