Vanliga frågor och svar om Azure Information Protection (AIP)

Gäller för:Azure Information Protection, Office 365

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

Har du några frågor om Azure Information Protection (AIP), eller om Azure Rights Management service (Azure RMS)?

Se om det besvaras nedan eller på efterföljande mer specifika sidor med vanliga frågor och svar.

Vad är skillnaden mellan Azure Information Protection och Microsoft Information Protection?

Till skillnad från Azure Information Protection Microsoft Information Protection inte en prenumeration eller produkt som du kan köpa. Det är i stället ett ramverk för produkter och integrerade funktioner som hjälper dig att skydda känslig information i organisationen.

Microsoft Information Protection produkter:

  • Azure Information Protection
  • Microsoft 365, t.ex. Microsoft 365 DLP
  • Windows informationsskydd
  • Microsoft Defender för molnappar

Microsoft Information Protection funktionerna omfattar:

  • Enhetlig etiketthantering
  • Inbyggda funktioner i slutanvändaretiketter Office appar
  • Möjligheten att Windows förstå enhetliga etiketter och tillämpa skydd på data
  • I Microsoft Information Protection SDK
  • Funktioner i Adobe Acrobat Reader för att visa etiketterade och skyddade PDF-filer

Mer information finns i Informationsskyddsfunktioner för att skydda känsliga data.

Vad är skillnaden mellan etiketter i Microsoft 365 och etiketter i Azure Information Protection?

Ursprungligen hade Microsoft 365 kvarhållningsetiketter,vilket gjorde att du kunde klassificera dokument och e-postmeddelanden för granskning och lagring när innehållet lagrades i Microsoft 365 tjänster.

Med Azure Information Protection-etiketter, som konfigurerades då med AIP-den klassiska klienten i Azure-portalen, kunde du däremot tillämpa en konsekvent klassificerings- och skyddprincip för dokument och e-postmeddelanden, oavsett om de lagrades lokalt eller i molnet.

Microsoft 365 stöder känslighetsetiketter och bevarandeetiketter. Känslighetsetiketter kan skapas och konfigureras i Microsoft 365 Efterlevnadscenter.

Om du har äldre AIP-etiketter konfigurerade i Azure Portal rekommenderar vi att du migrerar dem till känslighetsetiketter och en enhetlig etikettklient. Mer information finns i Självstudiekurs: Migrera från den klassiska Azure Information Protection-klienten (AIP)till den enhetliga etikettklienten.

Mer information finns i Vi presenterar tillgängligheten för informationsskyddsfunktioner som hjälper dig att skydda känsliga data.

Hur tar jag reda på om min innehavare finns på den enhetliga märkningsplattformen?

När klientorganisationen finns på den enhetliga etikettplattformen har den stöd för känslighetsetiketter som kan användas av klienter och tjänster som har stöd för enhetlig märkning. Om du skaffade prenumerationen för Azure Information Protection i juni 2019 eller senare finns klientorganisationen automatiskt på den enhetliga märkningsplattformen och inga ytterligare åtgärder krävs. Din klientorganisation kan också finnas på den här plattformen eftersom någon har migrerat dina Azure Information Protection-etiketter.

Om klientorganisationen inte finns på den enhetliga märkningsplattformen visas följande informationsbanderoll i Azure-portalen i Azure Information Protection-fönstren:

Banderoll för migreringsinformation

Du kan också kontrollera det genom att gå till Azure Information ProtectionManageUnified Labelingoch visa status för Enhetlig etikett:

Status Beskrivning
Aktiverad Din klientorganisation finns på den enhetliga märkningsplattformen.
Du kan skapa, konfigurera och publicera etiketter från Microsoft 365 Efterlevnadscenter.
Inte aktiverat Klientorganisationen finns inte på den enhetliga märkningsplattformen.
Migreringsinstruktioner och vägledning finns i Migrera Azure Information Protection-etiketter till enhetliga känslighetsetiketter.

Vad är skillnaden mellan det klassiska och enhetliga etikettklienterna för Azure Information Protection?

Den äldre Azure Information Protection-klienten, som kallas den klassiska klienten, laddar ned etiketter och principinställningar från Azure och gör att du kan konfigurera AIP-principen från Azure-portalen.

Den enhetliga etikettklienten är den senaste klienten med de senaste uppdateringarna och har stöd för den enhetliga märkningsplattformen som används av flera program och tjänster. Den enhetliga etikettklienten laddar ned känslighetsetiketter och principinställningar från Microsoft 365 Efterlevnadscenter.

Om du är administratör kan du läsa mer i Välj din Windows lösning.

Klassisk utfasning av klient

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuell från och med den 31 mars 2021.

Klienten fortsätter att fungera som förväntat, men administratörer kan inte uppdatera principer i portalen och inga fler korrigeringar eller ändringar tillhandahålls för den klassiska klienten.

Vi rekommenderar att du migrerar till unified labeling och uppgraderar till unified labeling-klienten. Läs mer i vår senaste uppdatering om utfasningen.

Mer information finns i: Migrera Azure Information Protection-etiketter till enhetliga känslighetsetiketter

Identifiera den klient som är installerad

Om du är en användare som vill förstå om du har den klassiska versionen eller den enhetliga etikettklienten installerad kan du göra något av följande:

  • I Office appar söker du efter knappen Känsligheteller Skydda i verktygsfältet. Den enhetliga etikettklienten visar knappen Känslighet, medan knappen Skydda visas i den klassiska klienten.

  • Kontrollera versionsnumret för det Azure Information Protection-program som du har installerat.

    • Version 1.x anger att du har den klassiska klienten. Exempel: 1.54.59.0
    • Version 2.x anger att du har den enhetliga etikettklienten. Exempel: 2.8.85.0

    I området För Windows Inställningar Appar och funktioner rullar du till exempel ned till Microsoft Azure Program för informationsskydd och kontrollerar versionsnumret.

    Kontrollera Azure Information Protection-klientversionen

När är det rätt tid att migrera mina etiketter till enhetlig etikett?

Vi rekommenderar att du migrerar dina Azure Information Protection-etiketter till den enhetliga märkningsplattformen så att du kan använda dem som känslighetsetiketter med andra klienter och tjänster som stöder enhetlig märkning.

Mer information och instruktioner finns i Migrera Azure Information Protection-etiketter till enhetliga känslighetsetiketter.

När jag har migrerat mina etiketter till enhetlig etikett, vilken hanteringsportal använder jag?

När du har migrerat dina etiketter i Azure Portal fortsätter du att hantera dem på någon av följande platser, beroende på vilka klienter som är installerade:

Klient Beskrivning
Unified labeling clients and services only Om du bara har unified labeling-klienter installerade kan du hantera etiketterna i Microsoft 365 Efterlevnadscenter, det vill säga där enhetliga etiketter för klienter laddar ned etiketterna och deras principinställningar.

Instruktioner finns i Skapa och konfigurera känslighetsetiketter och deras principer.
Endast klassisk klient Om du har migrerat dina etiketter, men fortfarande har den klassiska klienten installerad, fortsätter du att använda Azure-portalen för att redigera etiketter och principinställningar. Den klassiska klienten fortsätter att hämta etiketter och principinställningar från Azure.
Både den klassiska AIP-klientenoch enhetliga etiketter-klienter Om du har båda klienterna installerade använder du appen Microsoft 365 Efterlevnadscenter Azure Portal för att göra etikettändringar.

För att de klassiska klienterna ska plocka upp etikettändringar som gjorts i Microsoft 365 Efterlevnadscenter går du tillbaka till Azure Portal för att publicera dem. Välj Publicera i >>

Fortsätt att använda Azure Portal för central rapportering och skannern .

Behöver jag kryptera mina filer igen när jag har flyttat till känslighetsetiketterna och den enhetliga märkningsplattformen?

Nej, du behöver inte kryptera dina filer på nytt när du har flyttat till känslighetsetiketter och den enhetliga märkningsplattformen efter migreringen från AIP-klienten och etiketterna som hanteras i Azure Portal.

När du har migrerat hanterar du etiketter och etiketter från Microsoft 365 Efterlevnadscenter.

Mer information finns i Läs mer om känslighetsetiketter i Microsoft 365 och blogg om enhetlig etikettmigrering.

Vad är skillnaden mellan Azure Information Protection och Azure Rights Management?

Med Azure Information Protection (AIP) får du klassificering, etiketter och skydd för en organisations dokument och e-postmeddelanden.

Innehållet skyddas med hjälp av tjänsten Azure Rights Management, som nu är en komponent i AIP.

Mer information finns i Hur AIP skyddar dina data och Vad är Azure Rights Management?.

Vilken roll har identitetshantering för Azure Information Protection?

Identitetshantering är en viktig komponent i AIP, eftersom användarna måste ha ett giltigt användarnamn och lösenord för att komma åt skyddat innehåll.

Mer information om hur Azure Information Protection hjälper dig att skydda dina data finns i Azure Information Protection när du ska skydda data.

Vilken prenumeration behöver jag för Azure Information Protection och vilka funktioner ingår?

Mer information om AIP-prenumerationer finns i:

Behöver du vara global administratör för att konfigurera Azure Information Protection, eller kan jag delegera till andra administratörer?

Globala administratörer för en Microsoft 365- eller Azure AD-klientorganisation kan förstås utföra alla administrativa uppgifter för Azure Information Protection.

Om du däremot vill tilldela administrativa behörigheter till andra användare gör du det genom att använda följande roller:

Observera dessutom följande när du hanterar administrativa uppgifter och roller:

Problem Information
Kontotyper som stöds Microsoft-konton stöds inte för delegerad administration av Azure Information Protection, även om dessa konton tilldelas en av de administratörsroller som anges.
Onboarding-kontroller Om du har konfigurerat onboarding-kontrollerpåverkar inte den här konfigurationen möjligheten att administrera Azure Information Protection, förutom RMS-kopplingen.

Om du till exempel har konfigurerat onboarding-kontroller så att möjligheten att skydda innehåll begränsas till IT-avdelningsgruppen, måste det konto som används för att installera och konfigurera RMS-kopplingen vara medlem i den gruppen.
Tar bort skydd Administratörer kan inte automatiskt ta bort skydd från dokument eller e-postmeddelanden som skyddas av Azure Information Protection.

Endast användare som har tilldelats superanvändare kan ta bort skyddet, och endast när funktionen för superanvändare är aktiverad.

Alla användare med administratörsbehörighet till Azure Information Protection kan aktivera funktionen för superanvändare och tilldela användare som superanvändare, inklusive sitt eget konto.

De här åtgärderna registreras i en administratörslogg.

Mer information finns i avsnittet om metodtips för säkerhet i Konfigurera superanvändare för Azure Information Protection och identifieringstjänster eller dataåterställning.

Tips:Om innehållet lagras i SharePoint eller OneDrive kan administratörer köra cmdleten Unlock-SensitivityLabelEncryptedFile för att ta bort både känslighetsetiketten och krypteringen. Mer information finns i Microsoft 365 dokumentation.
Migrera till det enhetliga etikettarkivet Om du migrerar dina Azure Information Protection-etiketter till det enhetliga etikettarkivet läser du följande avsnitt i dokumentationen för etikettmigrering:
Administrativa roller med stöd för den enhetliga märkningsplattformen.

Azure Information Protection-administratör

Den Azure Active Directory administratörsrollen låter en administratör konfigurera Azure Information Protection men inte andra tjänster.

Administratörer med den här rollen kan:

Information om hur du tilldelar en användare till den här administrativa rollen finns i Tilldela en användare administratörsroller i Azure Active Directory.

Obs!

Den här rollen stöds inte i Azure Portal om klientorganisationen finns på den enhetliga etikettplattformen.

Efterlevnadsadministratör eller efterlevnadsdataadministratör

Med Azure Active Directory administratörsroller kan administratörer:

  • Konfigurera Azure Information Protection, inklusive aktivering och inaktivering av Azure Rights Management Protection-tjänsten
  • Konfigurera skyddsinställningar och etiketter
  • Konfigurera Azure Information Protection-principen
  • Kör alla PowerShell-cmdlets för Azure Information Protection-klienten och från AIPService-modulen.

Information om hur du tilldelar en användare till den här administrativa rollen finns i Tilldela en användare administratörsroller i Azure Active Directory.

Om du vill se vilka andra behörigheter en användare med dessa roller har kan du läsa avsnittet Tillgängliga roller i Azure Active Directory dokumentationen.

Obs!

De här rollerna har inte stöd för att spåra och återkalla dokument för användare.

Säkerhetsläsare eller global läsare

De här rollerna används endast för analys av Azure Information Protection och gör det möjligt för administratörer att:

  • Visa hur etiketterna används
  • Övervaka användaråtkomst till etiketterade dokument och e-postmeddelanden
  • Visa ändringar som gjorts av klassificering
  • Identifiera dokument som innehåller känslig information som måste skyddas

Eftersom den här funktionen använder Azure Monitor måste du också ha en stödroll för RBAC.

Säkerhetsadministratör

Den Azure Active Directory administratörsrollen gör det möjligt för administratörer att konfigurera Azure Information Protection i Azure-portalen och vissa aspekter av andra Azure-tjänster.

Administratörer med den här rollen kan inte köra PowerShell-cmdlets från AIPService-moduleneller spåra och återkalla dokument för användare.

Information om hur du tilldelar en användare till den här administrativa rollen finns i Tilldela en användare administratörsroller i Azure Active Directory.

Information om vilka andra behörigheter en användare med den här rollen har finns i avsnittet Tillgängliga roller i Azure Active Directory dokumentationen.

Global administratör och anslutningsadministratör för Azure Rights Management

Med rollen Global administratör kan användare köra alla PowerShell-cmdlets från AIPService-modulen utan att göra dem till globala administratörer för andra molntjänster.

Med rollen Anslutningsadministratör kan användarna bara köra RMS-kopplingen (Rights Management).

De här administrativa rollerna ger inte behörighet till hanteringskonsoler. Rollen Anslutningsadministratör har inte heller stöd för att spåra och återkalla dokument för användare.

Om du vill tilldela någon av dessa administrativa roller använder du AIPService PowerShell-cmdleten Add-AipServiceRoleBasedAdministrator.

Stöder Azure Information Protection lokala scenarier och hybridscenarier?

Ja. Även om Azure Information Protection är en molnbaserad lösning kan den klassificera, märka och skydda dokument och e-postmeddelanden som lagras lokalt och i molnet.

Om du har Exchange Server, SharePoint server och Windows-filservrar använder du en eller båda av följande metoder:

  • Distribuera Rights Management-anslutningen så att de lokala servrarna kan använda Azure Rights Management-tjänsten för att skydda dina e-postmeddelanden och dokument
  • Synkronisera och federera dina Active Directory-domänkontrollanter med Azure AD för en smidigare autentisering för användarna. Använd till exempel Azure AD Anslut.

Azure Rights Management-tjänsten genererar och hanterar automatiskt XrML-certifikat vid behov, så den använder inte en lokal PKI.

Mer information om hur Certifikat används i Azure Rights Management finns i Genomgång av hur Azure RMS fungerar: Första användningen, innehållsskydd och innehållsanvändning.

Vilka typer av data kan Azure Information Protection klassificera och skydda?

Azure Information Protection kan klassificera och skydda e-postmeddelanden och dokument, oavsett om de finns lokalt eller i molnet. Dokumenten omfattar Word-dokument, Excel-kalkylblad, PowerPoint-presentationer, PDF-dokument, textbaserade filer och bildfiler.

Mer information finns i alla listfiltyper som stöds.

Obs!

Azure Information Protection kan inte klassificera och skydda strukturerade data, till exempel databasfiler, kalenderobjekt, Yammer inlägg, Sway-innehåll och OneNote anteckningsböcker.

Tips!

Power BI stöder klassificering genom att använda känslighetsetiketter och kan tillämpa skydd från etiketterna på data som exporteras till följande filformat: .pdf, .xls och .ppt. Mer information finns i Dataskydd i Power BI.

Jag ser att Azure Information Protection visas som ett tillgängligt molnapp för villkorsstyrd åtkomst – hur fungerar det?

Ja, som en förhandsversionserbjudande kan du konfigurera villkorlig åtkomst i Azure AD för Azure Information Protection.

När en användare öppnar ett dokument som skyddas av Azure Information Protection kan administratörer nu blockera eller bevilja åtkomst till användare i klientorganisationen, baserat på de vanliga kontrollerna för villkorsstyrd åtkomst. Att kräva multifaktorautentisering (MFA) är ett av de vanligaste villkoren. En annan är att enheterna måste vara kompatibla med Intune-principerna så att till exempel mobila enheter uppfyller dina lösenordskrav och en lägsta operativsystemsversion, och datorer måste vara domän anslutna.

Mer information och några genomgångsexempel finns i följande blogginlägg: Villkorsstyrd åtkomstpolicy för Azure Information Protection.

Ytterligare information:

Ämne Information
Utvärderingsfrekvens För Windows-datorer och den aktuella förhandsversionen utvärderas villkorsstyrda åtkomstprinciper för Azure Information Protection när användarmiljön initieras (den här processen kallas även startning) och därefter var 30:e dag.

Konfigurera tokenlivslängd för att finjustera hur ofta villkorsstyrda åtkomstprinciper ska utvärderas.
Administratörskonton Vi rekommenderar att du inte lägger till administratörskonton i dina villkorsstyrda åtkomstprinciper eftersom dessa konton inte kommer att kunna komma åt Azure Information Protection-fönstret i Azure-portalen.
MFA och B2B-samarbete Om du använder MFA i dina villkorsstyrda åtkomstprinciper för att samarbeta med andra organisationer (B2B), måste du använda Azure AD B2B-samarbete och skapa gästkonton för de användare som du vill dela med i den andra organisationen.
Användningsvillkor I och med förhandsversionen av Azure AD december 2018 kan du nu uppmana användarna att godkänna användningsvillkoren innan de öppnar ett skyddat dokument för första gången.
Molnappar Om du använder många molnappar för villkorsstyrd åtkomst kanske du Microsoft Azure informationsskydd visas i listan för att välja det.

I det här fallet använder du sökrutan högst upp i listan. Börja skriva "Microsoft Azure informationsskydd" för att filtrera de tillgängliga apparna. Om du vet att du har en prenumeration som stöds visas Microsoft Azure informationsskydd att välja.

Obs!

Azure Information Protection-stödet för villkorsstyrd åtkomst är för närvarande i FÖRHANDSVERSION. Tilläggsvillkor för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är beta, förhandsversion eller på annat sätt ännu inte har släppts till allmän tillgänglighet.

Jag ser att Azure Information Protection listas som en säkerhetsleverantör för Microsoft Graph Säkerhet – hur fungerar detta och vilka aviseringar får jag?

Ja, som en offentlig förhandsversionserbjudande kan du nu få en avisering om avvikande dataåtkomst i Azure Information Protection. Den här aviseringen utlöses när det finns ovanliga försök att komma åt data som skyddas av Azure Information Protection. Till exempel att få åtkomst till en ovanligt stor mängd data, vid en ovanlig tidpunkt på dagen eller åtkomst från en okänd plats.

Sådana aviseringar kan hjälpa dig att upptäcka avancerade datarelaterade attacker och Insider-hot i din miljö. Dessa varningar använder maskininlärning för att profilera beteende för användare som kommer åt dina skyddade data.

Azure Information Protection-aviseringarna kan nås via Microsoft Graph Security API,eller så kan du strömma aviseringar till SIEM-lösningar, till exempel Splunk och IBM Qradar, med hjälp av Azure Monitor.

Mer information om Microsofts säkerhets-API Graph finns i Översikt över Microsofts Graph-säkerhets-API.

Obs!

Supporten för Azure Information Protection för Microsoft Graph är för närvarande i FÖRHANDSVERSION. Tilläggsvillkor för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är beta, förhandsversion eller på annat sätt ännu inte har släppts till allmän tillgänglighet.

Jag har hört talas om att en ny version snart kommer att bli tillgänglig för Azure Information Protection – när kommer den att släppas?

Den tekniska dokumentationen innehåller inte information om kommande versioner. Använd översiktsinformationen för Microsoft 365 för den här typen av information.

Är Azure Information Protection lämpligt för mitt land?

Olika länder har olika krav och föreskrifter. Information om hur du svarar på den här frågan för din organisation finns i Lämplighet för olika länder.

Hur kan Azure Information Protection hjälpa dig med GDPR?

Obs!

Om du är intresserad av att visa eller ta bort personliga data kan du läsa Microsofts vägledning i Microsofts efterlevnadshanteraren och i GDPR på webbplatsen för Microsoft 365 Enterprise efterlevnad. Om du letar efter allmän information om GDPR, se avsnittet GDPR i Service Trust portal.

Se Efterlevnads- och stödinformation för Azure Information Protection.

Hur rapporterar jag ett problem eller skickar feedback om Azure Information Protection?

Använd dina standardsupportkanaler eller kontakta Microsoft Support för teknisk support.

Vi vill även att du ska kommunicera med vårt tekniska team på deras Azure Information Protection-Yammer webbplats.

Vad gör jag om min fråga inte finns här?

Först går du igenom de vanliga frågorna nedan, som är specifika för klassificering och märkning, eller specifika för dataskydd. Azure Rights Management Service (Azure RMS) tillhandahåller dataskyddstekniken för Azure Information Protection. Azure RMS kan användas med klassificering och märkning eller för sig själv.

Om din fråga inte besvaras kan du gå till länkarna och resurserna i Information och support för Azure Information Protection.