AIP distributions översikt för klassificering, märkning och skyddAIP deployment roadmap for classification, labeling, and protection

Gäller för: Azure information Protection, Office 365Applies to: Azure Information Protection, Office 365

Anteckning

För att tillhandahålla en enhetlig och strömlinjeformad kund upplevelse är Azure information Protection-klienten (klassisk) och etikett hantering i Azure-portalen föråldrad den 31 mars 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Med den här tids ramen kan alla nuvarande Azure Information Protection-kunder övergå till vår enhetliga etikett lösning med hjälp av Microsoft Information Protection Unified Labeling-plattformen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Läs mer i det officiella utfasnings meddelandet.Learn more in the official deprecation notice.

Använd följande steg som rekommendationer för att hjälpa dig att förbereda för, implementera och hantera Azure Information Protection för din organisation, när du vill klassificera, märka och skydda dina data.Use the following steps as recommendations to help you prepare for, implement, and manage Azure Information Protection for your organization, when you want to classify, label, and protect your data.

Den här översikten rekommenderas för alla kunder med en support prenumeration.This roadmap is recommended for any customers with a supporting subscription. Fler funktioner är att både identifiera känslig information och etikettera dokument och e-postmeddelanden för klassificering.Additional capabilities include both discovering sensitive information and labeling documents and emails for classification.

Etiketter kan också använda skydd, vilket fören klar det här steget för dina användare.Labels can also apply protection, simplifying this step for your users.

Den här översikten stöds för båda AIP-etiketter som skapats med den klassiska klienten och känslighets etiketter som använder den enhetliga märknings plattformen.This roadmap is supported for both AIP labels created with the classic client, and sensitivity labels that use the unified labeling platform.

DistributionsprocessDeployment process

Utför följande steg:Perform the following steps:

  1. Bekräfta din prenumeration och tilldela användar licenserConfirm your subscription and assign user licenses
  2. Förbered din klient att använda Azure Information ProtectionPrepare your tenant to use Azure Information Protection
  3. Konfigurera och distribuera klassificering och etiketteringConfigure and deploy classification and labeling
  4. Förbered för data skyddPrepare for data protection
  5. Konfigurera etiketter och inställningar, program och tjänster för data skyddConfigure labels and settings, applications, and services for data protection
  6. Använd och övervaka dina data skydds lösningarUse and monitor your data protection solutions
  7. Administrera skydds tjänsten för ditt klient konto efter behovAdminister the protection service for your tenant account as needed

Tips

Använder du redan skydds funktionen från Azure Information Protection?Already using the protection functionality from Azure Information Protection? Du kan hoppa över många av de här stegen och fokusera på steg 3 och 5,1.You can skip many of these steps and focus on steps 3 and 5.1.

Bekräfta din prenumeration och tilldela användar licenserConfirm your subscription and assign user licenses

Bekräfta att din organisation har en prenumeration som innehåller de funktioner som du förväntar dig.Confirm that your organization has a subscription that includes the functionality and features you expect. Du hittar den här informationen på sidan Azure information Protection prissättning .You can find these details on the Azure Information Protection Pricing page.

Tilldela sedan licenser från den här prenumerationen till varje användare i organisationen som ska klassificera, märka och skydda dokument och e-postmeddelanden.Then, assign licenses from this subscription to each user in your organization who will classify, label, and protect documents and emails.

Viktigt

Tilldela inte användar licenser manuellt från den kostnads fria RMS för enskilda användare-prenumerationen och Använd inte den här licensen för att administrera Azure Rights Management-tjänsten för din organisation.Do not manually assign user licenses from the free RMS for individuals subscription, and do not use this license to administer the Azure Rights Management service for your organization.

Dessa licenser visas som Rights Management adhoc i Microsoft 365 administrations center och RIGHTSMANAGEMENT_ADHOC när du kör Azure AD PowerShell-cmdleten Get-MsolAccountSku.These licenses display as Rights Management Adhoc in the Microsoft 365 admin center, and RIGHTSMANAGEMENT_ADHOC when you run the Azure AD PowerShell cmdlet, Get-MsolAccountSku.

Mer information finns i RMS för enskilda användare och Azure information Protection.For more information, see RMS for individuals and Azure Information Protection.

Förbered din klient att använda Azure Information ProtectionPrepare your tenant to use Azure Information Protection

Innan du börjar använda Azure Information Protection måste du kontrol lera att du har användar konton och grupper i Microsoft 365 eller Azure Active Directory att AIP kan användas för att autentisera och auktorisera dina användare.Before you begin using Azure Information Protection, make sure that you have user accounts and groups in Microsoft 365 or Azure Active Directory that AIP can use to authenticate and authorize your users.

Om det behövs kan du skapa dessa konton och grupper eller synkronisera dem från din lokala katalog.If necessary, create these accounts and groups, or synchronize them from your on-premises directory.

Mer information finns i Förbereda användare och grupper för Azure Information Protection.For more information, see Preparing users and groups for Azure Information Protection.

Konfigurera och distribuera klassificering och etiketteringConfigure and deploy classification and labeling

Avgör om du ska använda den klassiska AIP-eller AIP Unified Labeling-klienten, eller om du behöver båda klienterna.Determine whether you're going to use the AIP classic or the AIP unified labeling client, or if you'll need both clients.

  1. Bestäm vilken klient som du vill använda.Determine which client you want to use.

    Bestäm vilken klient du behöver för den här punkten så att du vet vilken hanterings portal som ska användas när du konfigurerar etiketter och princip inställningar.Decide which client you'll need at this point so that you know which management portal to use when configuring labels and policy settings.

    Mer information finns i Välj vilken Azure information Protection-klient som ska användas.For more information, see Choose which Azure Information Protection client to use.

  2. Genomsök dina filer (valfritt men rekommenderas).Scan your files (optional but recommended).

    Distribuera och kör AIP-skannern för att identifiera känslig information som du har i dina lokala data lager.Deploy and run the AIP scanner to discover the sensitive information you have on your local data stores. Den information som skannern hittar kan hjälpa dig med din klassificerings-taxonomi, ge värdefull information om vilka etiketter du behöver och vilka filer som behöver skyddas.The information that the scanner finds can help you with your classification taxonomy, provide valuable information about what labels you need, and which files need protecting.

    Skanner identifierings läget kräver inte någon etikett konfiguration eller taxonomi, och är därför lämpligt i det här tidiga skedet av distributionen.The scanner discovery mode doesn't require any label configuration or taxonomy, and is therefore suitable at this early stage of your deployment. Du kan också använda den här skanner konfigurationen parallellt med följande distributions steg tills du har konfigurerat rekommenderade eller automatiska etiketter.You can also use this scanner configuration in parallel with the following deployment steps, until you configure recommended or automatic labeling.

  3. Anpassa standard principen för AIP.Customize the default AIP policy.

    Om du inte har en klassificerings strategi ännu använder du standard Azure information Protections principen som grund för att avgöra vilka etiketter du behöver för dina data.If you don't have a classification strategy yet, use the default Azure Information Protection policy as a basis for determining which labels you'll need for your data. Anpassa etiketterna efter behov så att de passar dina behov.Customize these labels as needed to meet your needs.

    Du kanske till exempel vill konfigurera om etiketterna med följande information:For example, you may want to reconfigure your labels with the following details:

    • Se till att etiketterna har stöd för klassificerings beslut.Make sure that your labels support your classification decisions.
    • Konfigurera principer för manuell etikettering av användareConfigure policies for manual labeling by users
    • Skriv användar vägledning för att förklara vilken etikett som ska användas i varje scenario.Write user guidance to help explain which label should be applied in each scenario.
    • Om standard principen har skapats med etiketter som automatiskt tillämpar skydd kan du tillfälligt ta bort skydds inställningarna eller inaktivera etiketten när du testar inställningarna.If your default policy was created with labels that automatically apply protection, you may want to temporarily remove the protection settings or disable the label while you test your settings.

    Mer information om hur du konfigurerar etiketter och princip inställningar finns i:For more information about how to configure the labels and policy settings, see:

  4. Distribuera klientenDeploy your client

    När du har konfigurerat en princip, distribuerar du Azure Information Protection Classic-och/eller Unified Labeling-klienten för dina användare.Once you have a policy configured, deploy the Azure Information Protection classic and/or unified labeling client for your users. Ge användar utbildning och detaljerade instruktioner när du ska välja etiketter.Provide user training and specific instructions when to select the labels.

    Mer information finns i:For more information, see:

  5. Introducera mer avancerade konfigurationerIntroduce more advanced configurations

    Vänta tills användarna blir mer bekväma med etiketter på sina dokument och e-postmeddelanden.Wait for your users to become more comfortable with labels on their documents and emails. När du är klar ska du införa avancerade konfigurationer, till exempel:When you're ready, introduce advanced configurations, such as:

    • Använda standard etiketterApplying default labels
    • Uppmana användarna att ange en motivering om de väljer en etikett med en lägre klassificerings nivå eller ta bort en etikettPrompting users for justification if they chose a label with a lower classification level or remove a label
    • Kräva att alla dokument och e-postmeddelanden har en etikettMandating that all documents and emails have a label
    • Anpassa sidhuvuden, sid fötter eller vattenstämplarCustomizing headers, footers, or watermarks
    • Rekommenderade och automatiska etiketterRecommended and automatic labeling

    Mer information finns i:For more information, see:

    Tips

    Om du har konfigurerat etiketter för automatiska etiketter kan du köra Azure information Protection-skannern igen på dina lokala data lager i identifierings läge och matcha principen.If you've configured labels for automatic labeling, run the Azure Information Protection scanner again on your local data stores in discovery mode and to match your policy.

    Genom att köra skannern i identifierings läge får du information om vilka etiketter som ska tillämpas på filer, vilket hjälper dig att finjustera etikett konfigurationen och förbereda dig för att klassificera och skydda filer i grupp.Running the scanner in discovery mode tells you which labels would be applied to files, which helps you fine-tune your label configuration and prepares you for classifying and protecting files in bulk.

Förbered för data skyddPrepare for data protection

Introducera data skydd för dina mest känsliga data när användare har blivit bekväm med att märka dokument och e-postmeddelanden.Introduce data protection for your most sensitive data once users become comfortable labeling documents and emails.

Utför följande steg för att förbereda för data skydd:Perform the following steps to prepare for data protection:

  1. Bestäm hur du vill hantera din klient nyckel.Determine how you want to manage your tenant key.

    Bestäm om du vill att Microsoft ska hantera din klientnyckel (standardalternativet), eller skapa och hantera din klientnyckel själv (kallas BYOK, Bring Your Own Key).Decide whether you want Microsoft to manage your tenant key (the default), or generate and manage your tenant key yourself (known as bring your own key, or BYOK).

    Anteckning

    Beroende på din klient finns ytterligare alternativ för att "hålla din egen nyckel (HYOK)" eller kryptering med dubbla nycklar tillgängliga för ytterligare säkerhet.Depending on your client, additional options to "hold your own key (HYOK)", or double-key encryption are available for additional security. ..

    Mer information finns i planera och implementera din Azure information Protection klient nyckelFor more information, see Planning and implementing your Azure Information Protection tenant key

  2. Installera PowerShell för AIP.Install PowerShell for AIP.

    Installera PowerShell-modulen för AIPService på minst en dator som har Internet åtkomst.Install the PowerShell module for AIPService on at least one computer that has internet access. Du kan utföra det här steget nu eller senare.You can do this step now, or later.

    Mer information finns i Installera PowerShell-modulen AIPService.For more information, see Installing the AIPService PowerShell module.

  3. Endast AD RMS: Migrera nycklar, mallar och URL: er till molnet.AD RMS only: Migrate your keys, templates, and URLs to the cloud.

    Om du för närvarande använder AD RMS utför du en migrering för att flytta nycklar, mallar och URL: er till molnet.If you are currently using AD RMS, perform a migration to move the keys, templates, and URLs to the cloud.

    Mer information finns i Migrera från AD RMS till Information Protection.For more information, see Migrating from AD RMS to Information Protection.

  4. Aktivera skydd.Activate protection.

    Kontrol lera att skydds tjänsten är aktive rad så att du kan börja skydda dokument och e-postmeddelanden.Make sure that the protection service is activated so that you can begin to protect documents and emails. Om du distribuerar i flera faser konfigurerar du användar onboarding-kontroller för att begränsa användarnas möjlighet att tillämpa skydd.If you're deploying in multiple phases, configure user onboarding controls to restrict users' ability to apply protection.

    Mer information finns i aktivera skydds tjänsten från Azure information Protection.For more information, see Activating the protection service from Azure Information Protection.

  5. Överväg användnings loggning (valfritt).Consider usage logging (optional).

    Överväg att logga användning för att övervaka hur din organisation använder skydds tjänsten.Consider logging usage to monitor how your organization is using the protection service. Du kan utföra det här steget nu eller senare.You can do this step now, or later.

    Mer information finns i Logga och analysera skydds användningen från Azure information Protection.For more information, see Logging and analyzing the protection usage from Azure Information Protection.

Konfigurera etiketter och inställningar, program och tjänster för data skyddConfigure labels and settings, applications, and services for data protection

Utför följande steg:Perform the following steps:

  1. Uppdatera etiketterna för att tillämpa skyddUpdate your labels to apply protection

    Använd någon av följande guider, beroende på din klient:Use one of the following guides, depending on your client:

    Viktigt

    Användare kan använda etiketter i Outlook som tillämpar Rights Management skydd även om Exchange inte har kon figurer ATS för IRM (Information Rights Management).Users can apply labels in Outlook that apply Rights Management protection even if Exchange is not configured for information rights management (IRM).

    Men innan Exchange har kon figurer ATS för IRM eller Microsoft 365 meddelande kryptering med nya funktioner, kommer din organisation inte att få alla funktioner i att använda Azure Rights Management-skydd med Exchange.However, until Exchange is configured for IRM or Microsoft 365 Message Encryption with new capabilities, your organization will not get the full functionality of using Azure Rights Management protection with Exchange. Den här ytterligare konfigurationen finns inkluderad i följande lista (2 för Exchange Online och 5 för Exchange lokalt).This additional configuration is included in the following list (2 for Exchange Online, and 5 for Exchange on-premises).

  2. Konfigurera Office-program och Office-tjänsterConfigure Office applications and services

    Konfigurera Office-program och-tjänster för IRM-funktionerna (Information Rights Management) i Microsoft SharePoint eller Exchange Online.Configure Office applications and services for the information rights management (IRM) features in Microsoft SharePoint or Exchange Online.

    Mer information finns i Konfigurera program för Azure Rights Management.For more information, see Configuring applications for Azure Rights Management.

  3. Konfigurera funktionen för superanvändare för dataåterställningConfigure the super user feature for data recovery

    Om du har befintliga IT-tjänster som behöver kontrol lera filer som Azure Information Protection skyddas, till exempel DLP-lösningar (data läcka), innehålls krypterings-gatewayer (CEG) och produkter mot skadlig kod – konfigurerar du tjänst kontona så att de blir superanvändare för Azure Rights Management.If you have existing IT services that need to inspect files that Azure Information Protection will protect—such as data leak prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products—configure the service accounts to be super users for Azure Rights Management.

    Mer information finns i Konfigurera superanvändare för Azure information Protection-och identifierings tjänster eller data återställning.For more information, see Configuring super users for Azure Information Protection and discovery services or data recovery.

  4. Klassificera och skydda befintliga filer i bulkClassify and protect existing files in bulk

    För dina lokala data lager, kör nu Azure information Protection Scanner i tvingande läge så att filer märks automatiskt.For your on-premises data stores, now run the Azure Information Protection scanner in enforcement mode so that files are automatically labeled.

    För filer på datorer använder du PowerShell-cmdletar för att klassificera och skydda filer.For files on PCs, use PowerShell cmdlets to classify and protect files. Mer information finns i följande guider, beroende på din klient:For more information, see the following guides, depending on your client:

    För molnbaserade data lager använder du Azure Cloud App Security.For cloud-based data stores, use Azure Cloud App Security.

    Tips

    När du klassificerar och skyddar befintliga filer i bulk inte är en av de viktigaste användnings fallen för Cloud App Security kan dokumenterade lösningar hjälpa dig att få dina filer klassificerade och skyddade.While classifying and protecting existing files in bulk is not one of the main use cases for cloud app security, documented workarounds can help you get your files classified and protected.

  5. Distribuera anslutnings programmet för IRM-skyddade bibliotek på SharePoint Server och IRM-skyddade e-postmeddelanden för Exchange On-premisesDeploy the connector for IRM-protected libraries on SharePoint Server, and IRM-protected emails for Exchange on-premises

    Om du har SharePoint och Exchange lokalt och vill använda sina IRM-funktioner (Information Rights Management) installerar och konfigurerar du Rights Management anslutningen.If you have SharePoint and Exchange on-premises and want to use their information rights management (IRM) features, install and configure the Rights Management connector.

    Mer information finns i Distribuera Azure Rights Management-anslutningsappen.For more information, see Deploying the Azure Rights Management connector.

Använd och övervaka dina data skydds lösningarUse and monitor your data protection solutions

Du är nu redo att övervaka hur din organisation använder de etiketter som du har konfigurerat och bekräftar att du skyddar känslig information.You're now ready to monitor how your organization is using the labels that you've configured and confirm that you're protecting sensitive information.

Mer information finns på följande sidor:For more information, see the following pages:

Administrera skydds tjänsten för ditt klient konto efter behovAdminister the protection service for your tenant account as needed

När du börjar använda skydds tjänsten kan du hitta PowerShell-användbart för att hjälpa till med skript eller automatisera administrativa ändringar.As you begin to use the protection service, you might find PowerShell useful to help script or automate administrative changes. PowerShell kan också behövas för några av de avancerade konfigurationerna.PowerShell might also be needed for some of the advanced configurations.

Mer information finns i Administrera skydd från Azure information Protection med hjälp av PowerShell.For more information, see Administering protection from Azure Information Protection by using PowerShell.

Nästa stegNext steps

När du distribuerar Azure Information Protection kan det vara bra att kontrol lera vanliga frågoroch sidan information och support för ytterligare resurser.As you deploy Azure Information Protection, you might find it helpful to check the frequently asked questions, and the information and support page for additional resources.