AIP-distributionsöversikt för klassificering, etikettering och skydd

Kommentar

Letar du efter Microsoft Purview Information Protection, tidigare Microsoft Information Protection (MIP)?

Azure Information Protection-tillägget för Office är nu i underhållsläge och kommer att dras tillbaka april 2024. I stället rekommenderar vi att du använder etiketter som är inbyggda i dina Office 365-appar och -tjänster. Läs mer om supportstatus för andra Azure Information Protection-komponenter.

Använd följande steg som rekommendationer för att förbereda dig för, implementera och hantera Azure Information Protection för din organisation, när du vill klassificera, märka och skydda dina data.

Den här översikten rekommenderas för alla kunder med en stödprenumeration. Ytterligare funktioner omfattar både identifiering av känslig information och etikettering av dokument och e-postmeddelanden för klassificering.

Etiketter kan också använda skydd, vilket förenklar det här steget för dina användare.

Distributionsprocess

Utför följande steg:

  1. Bekräfta din prenumeration och tilldela användarlicenser
  2. Förbereda din klientorganisation för att använda Azure Information Protection
  3. Konfigurera och distribuera klassificering och etikettering
  4. Förbereda för dataskydd
  5. Konfigurera etiketter och inställningar, program och tjänster för dataskydd
  6. Använda och övervaka dina dataskyddslösningar
  7. Administrera skyddstjänsten för ditt klientkonto efter behov

Dricks

Använder du redan skyddsfunktionerna från Azure Information Protection? Du kan hoppa över många av de här stegen och fokusera på steg 3 och 5.1.

Bekräfta din prenumeration och tilldela användarlicenser

Bekräfta att din organisation har en prenumeration som innehåller de funktioner och funktioner som du förväntar dig. Mer information finns på sidan microsoft 365-licensieringsvägledning för säkerhet och efterlevnad .

Tilldela sedan licenser från den här prenumerationen till varje användare i din organisation som ska klassificera, märka och skydda dokument och e-postmeddelanden.

Viktigt!

Tilldela inte användarlicenser manuellt från den kostnadsfria PRENUMERATIONen för RMS för enskilda användare och använd inte den här licensen för att administrera Azure Rights Management-tjänsten för din organisation.

Dessa licenser visas som Rights Management Adhoc i Administrationscenter för Microsoft 365 och RIGHTSMANAGEMENT_ADHOC när du kör Azure AD PowerShell-cmdleten Get-MsolAccountSku.

Mer information finns i RMS för enskilda användare och Azure Information Protection.

Förbereda din klientorganisation för att använda Azure Information Protection

Innan du börjar använda Azure Information Protection kontrollerar du att du har användarkonton och grupper i Microsoft 365 eller Microsoft Entra-ID som AIP kan använda för att autentisera och auktorisera dina användare.

Om det behövs skapar du dessa konton och grupper eller synkroniserar dem från din lokala katalog.

Mer information finns i Förbereda användare och grupper för Azure Information Protection.

Konfigurera och distribuera klassificering och etikettering

Utför följande steg:

  1. Sök igenom dina filer (valfritt men rekommenderas)

    Distribuera Azure Information Protection-klienten och installera och kör sedan skannern för att identifiera känslig information som du har i dina lokala datalager.

    Informationen som skannern hittar kan hjälpa dig med klassificeringstaxonomi, ge värdefull information om vilka etiketter du behöver och vilka filer som behöver skyddas.

    Identifieringsläget för skannern kräver ingen etikettkonfiguration eller taxonomi och är därför lämpligt i det här tidiga skedet av distributionen. Du kan också använda den här skannerkonfigurationen parallellt med följande distributionssteg tills du konfigurerar rekommenderad eller automatisk etikettering.

  2. Anpassa standardprincipen för AIP.

    Om du inte har någon klassificeringsstrategi än använder du en standardprincip som grund för att avgöra vilka etiketter du behöver för dina data. Anpassa dessa etiketter efter behov för att uppfylla dina behov.

    Du kanske till exempel vill konfigurera om etiketterna med följande information:

    • Se till att etiketterna stöder dina klassificeringsbeslut.
    • Konfigurera principer för manuell etikettering av användare
    • Skriv användarvägledning för att förklara vilken etikett som ska användas i varje scenario.
    • Om standardprincipen skapades med etiketter som automatiskt tillämpar skydd kan du tillfälligt ta bort skyddsinställningarna eller inaktivera etiketten när du testar inställningarna.

    Känslighetsetiketter och etikettprinciper för klienten för enhetlig etikettering konfigureras i efterlevnadsportal i Microsoft Purview. Mer information finns i Läs mer om känslighetsetiketter.

  3. Distribuera din klient för dina användare

    När du har konfigurerat en princip distribuerar du Azure Information Protection-klienten för dina användare. Ange användarutbildning och specifika instruktioner när du ska välja etiketterna.

    Mer information finns i administratörsguiden för enhetliga etiketteringsklient.

  4. Introducera mer avancerade konfigurationer

    Vänta tills användarna blir mer bekväma med etiketter på sina dokument och e-postmeddelanden. När du är klar introducerar du avancerade konfigurationer, till exempel:

    • Tillämpa standardetiketter
    • Fråga användare om motivering om de väljer en etikett med en lägre klassificeringsnivå eller ta bort en etikett
    • Mandat att alla dokument och e-postmeddelanden har en etikett
    • Anpassa sidhuvuden, sidfötter eller vattenstämplar
    • Rekommenderad och automatisk etikettering

    Mer information finns i Administratörsguide: Anpassade konfigurationer.

    Dricks

    Om du har konfigurerat etiketter för automatisk etikettering kör du Azure Information Protection-skannern igen på dina lokala datalager i identifieringsläge och för att matcha din princip.

    När du kör skannern i identifieringsläge visas vilka etiketter som ska tillämpas på filer, vilket hjälper dig att finjustera etikettkonfigurationen och förbereder dig för att klassificera och skydda filer i grupp.

Förbereda för dataskydd

Introducera dataskydd för dina känsligaste data när användarna blir bekväma med att märka dokument och e-postmeddelanden.

Utför följande steg för att förbereda för dataskydd:

  1. Bestäm hur du vill hantera din klientnyckel.

    Bestäm om du vill att Microsoft ska hantera din klientnyckel (standard) eller generera och hantera din klientnyckel själv (kallas ta med din egen nyckel eller BYOK).

    Mer information och alternativ för ytterligare lokalt skydd finns i Planera och implementera din Azure Information Protection-klientnyckel.

  2. Installera PowerShell för AIP.

    Installera PowerShell-modulen för AIPService på minst en dator som har internetåtkomst. Du kan göra det här steget nu eller senare.

    Mer information finns i Installera AIPService PowerShell-modulen.

  3. Endast AD RMS: Migrera dina nycklar, mallar och URL:er till molnet.

    Om du för närvarande använder AD RMS utför du en migrering för att flytta nycklar, mallar och URL:er till molnet.

    Mer information finns i Migrera från AD RMS till Information Protection.

  4. Aktivera skydd.

    Kontrollera att skyddstjänsten är aktiverad så att du kan börja skydda dokument och e-postmeddelanden. Om du distribuerar i flera faser konfigurerar du användarregistreringskontroller för att begränsa användarnas möjlighet att tillämpa skydd.

    Mer information finns i Aktivera skyddstjänsten från Azure Information Protection.

  5. Överväg användningsloggning (valfritt).

    Överväg att logga användning för att övervaka hur din organisation använder skyddstjänsten. Du kan göra det här steget nu eller senare.

    Mer information finns i Logga och analysera skyddsanvändningen från Azure Information Protection.

Konfigurera etiketter och inställningar, program och tjänster för dataskydd

Utför följande steg:

  1. Uppdatera etiketterna för att tillämpa skydd

    Mer information finns i Begränsa åtkomsten till innehåll med hjälp av kryptering i känslighetsetiketter.

    Viktigt!

    Användare kan använda etiketter i Outlook som tillämpar Rights Management-skydd även om Exchange inte har konfigurerats för IRM (Information Rights Management).

    Men tills Exchange har konfigurerats för IRM eller Microsoft 365-meddelandekryptering med nya funktioner får din organisation inte alla funktioner för att använda Azure Rights Management-skydd med Exchange. Den här ytterligare konfigurationen ingår i följande lista (2 för Exchange Online och 5 för Exchange on-premises).

  2. Konfigurera Office-appen och tjänster

    Konfigurera Office-appen och tjänster för IRM-funktionerna (Information Rights Management) i Microsoft SharePoint eller Exchange Online.

    Mer information finns i Konfigurera program för Azure Rights Management.

  3. Konfigurera superanvändarfunktionen för dataåterställning

    Om du har befintliga IT-tjänster som behöver inspektera filer som Azure Information Protection ska skydda– till exempel lösningar för dataläckageskydd (DLP), innehållskrypteringsgatewayer (CEG) och produkter mot skadlig kod – konfigurerar du tjänstkontona så att de är superanvändare för Azure Rights Management.

    Mer information finns i Konfigurera superanvändare för Azure Information Protection och identifieringstjänster eller dataåterställning.

  4. Klassificera och skydda befintliga filer i grupp

    För dina lokala datalager kör du nu Azure Information Protection-skannern i tvingande läge så att filerna etiketteras automatiskt.

    För filer på datorer använder du PowerShell-cmdletar för att klassificera och skydda filer. Mer information finns i Använda PowerShell med den enhetliga etiketteringsklienten för Azure Information Protection.

    För molnbaserade datalager använder du Microsoft Defender för molnet Apps.

    Dricks

    Även om klassificering och skydd av befintliga filer i bulk inte är ett av de viktigaste användningsfallen för Defender för molnet-appar, kan dokumenterade lösningar hjälpa dig att få dina filer klassificerade och skyddade.

  5. Distribuera anslutningsappen för IRM-skyddade bibliotek på SharePoint Server och IRM-skyddade e-postmeddelanden för Exchange on-premises

    Om du har SharePoint och Exchange lokalt och vill använda deras IRM-funktioner (Information Rights Management) installerar och konfigurerar du Rights Management-anslutningstjänsten.

    Mer information finns i Distribuera Microsoft Rights Management-anslutningsappen.

Använda och övervaka dina dataskyddslösningar

Nu är du redo att övervaka hur din organisation använder de etiketter som du har konfigurerat och bekräfta att du skyddar känslig information.

Mer information finns på följande sidor:

Administrera skyddstjänsten för ditt klientkonto efter behov

När du börjar använda skyddstjänsten kan powershell vara användbart för att skapa skript eller automatisera administrativa ändringar. PowerShell kan också behövas för några av de avancerade konfigurationerna.

Mer information finns i Administrera skydd från Azure Information Protection med hjälp av PowerShell.

Nästa steg

När du distribuerar Azure Information Protection kan det vara bra att kontrollera vanliga frågor, kända problem och informations- och supportsidan för ytterligare resurser.