Självstudie: Förhindra översharing i Outlook med Azure Information Protection (AIP)

Gäller för: Azure Information Protection

Relevant för: Azure Information Protection enhetlig etiketteringsklient för Windows

Som systemadministratör måste du se till att organisationens innehåll förblir säkert och endast delas med betrodda användare. Ett av de vanligaste sätten för användare att dela innehåll på olämpligt sätt är via e-post. Konfigurera din princip för att förhindra övershatning via Outlook, till exempel att begränsa åtkomsten till specifika användare, eller tillåta användare att dela innehåll endast med betrodda externa användare.

Tid som krävs: Du kan slutföra den här självstudien på 30 minuter.

I den här guiden får du lära dig att:

  • Konfigurera varnings-, motiverings- och blockeringsbeteenden för specifika märkningsvillkor
  • Se dina inställningar i praktiken
  • Granska loggade användarmeddelanden och åtgärder i händelseloggen

Förutsättningar för självstudiekursen

Kontrollera att du har följande systemkrav innan du påbörjar den här självstudien.

Förutsättningar Description
Datorkrav Kontrollera att du:

– Ha en Windows dator med den Azure Information Protection enhetliga etiketteringsklienten installerad. Mer information finns i Quickstart: Deploying the Azure Information Protection (AIP) unified labeling client .

– Ha PowerShell installerat och att du kan köra PowerShell som administratör.

– Kan logga in på Outlook. Var beredd på att starta Outlook flera gånger under den här självstudien.
Azure Information Protection prenumeration Du behöver en Azure-prenumeration som innehåller Azure Information Protection.

Om du inte har någon av dessa prenumerationer kan du skapa ett kostnadsfritt konto för din organisation.
Känslighetsetiketter och en testprincip En allmän känslighetsetikett som konfigurerats i principen.

Konfigurera känslighetsetiketter i Microsoft 365 Efterlevnadscenter. Mer information finns i dokumentationen Microsoft 365.

Vi rekommenderar att du använder en testprincip för den här självstudien så att du inte påverkar din live-princip.
Kontrollera att du har namnet på principen till hands, samt GUID för etiketten Allmänt.

Nu sätter vi igång.

Implementera ett varningsmeddelande för e-postmeddelanden med etiketten Allmänt

Den här proceduren beskriver hur du konfigurerar principen för att varna Outlook innan de skickar ett e-postmeddelande med etiketten Allmänt.

Användarna kan välja att ta del av varningen och antingen ändra etiketten eller innehållet, eller så kan de välja att skicka e-postmeddelandet ändå.

  1. Kör PowerShell som administratör på klientdatorn.

  2. Kör följande kommando för att definiera ett varningsmeddelande för etiketten Allmänt. När du kopierar det här kommandot ersätter du Global med namnet på din princip och den långa teckensträngen med ditt eget etikett-ID.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
    

    I det här exemplet heter principen Global och GUID för etiketten Allmänt är 8faca7b8-8d20-48a3-8ea2-0f96310a848e.

    Tips

    Om du vill tillämpa den här inställningen på flera etiketter visar du deras GUID i värdet, avgränsade med kommatecken.

  3. Testa inställningen i Outlook:

    1. Öppna eller starta om Outlook hämta de uppdaterade inställningarna på klientdatorn.

    2. Skapa ett nytt e-postmeddelande och tillämpa etiketten Allmänt. I meddelandeverktygsfältet väljer du knappen Känslighet och sedan Allmänt.

    3. Definiera fältet Till med din egen e-postadress, fältet Ämne som: och skicka Testing a warning message for the General label sedan e-postmeddelandet.

      Du bör se följande varning och be dig att bekräfta innan du skickar e-postmeddelandet. Exempel:

      Testa ett varningsmeddelande för etiketten Allmänt

    4. Anta att du är en användare som av misstag har försökt skicka ett e-postmeddelande med etiketten Allmänt. I det här fallet vill du ta del av varningen, så välj Avbryt.

      Din e-postadress skickas inte, men förblir öppen så att du kan ändra innehållet eller etiketten.

    5. Du behöver inte göra några ändringar och du kan bestämma att innehållet är lämpligt att skicka. Välj Skicka igen. Den här gången väljer du Bekräfta och Skicka när varningen visas.

      E-postmeddelandet skickas.

Fortsätt med Visa ett varningsmeddelande endast för allmänna e-postmeddelanden när de skickas externt.

Visa ett varningsmeddelande för allmänna e-postmeddelanden endast när de skickas externt

Den här proceduren beskriver hur du lägger till ett undantag i varningsmeddelandet som du konfigurerade tidigare, så att varningsmeddelandet endast visas för externa mottagare.

När du skickar ett allmänt e-postmeddelande internt visas inte varningsmeddelandet.

  1. Kör PowerShell som administratör på klientdatorn.

  2. Kör följande kommando för att definiera domänen som en betrodd domän för varningsmeddelanden. När du kopierar det här kommandot ersätter du Global med namnet på principen och contoso.com med din egen domän.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnTrustedDomains="contoso.com"}    
    

    Tips

    Om du vill tillämpa den här inställningen på flera domäner, till exempel om du vill lägga till betrodda partner, anger du deras domäner i värdet, avgränsade med kommatecken.

  3. Testa inställningen i Outlook:

    1. Öppna eller starta om Outlook hämta de uppdaterade inställningarna på klientdatorn.

    2. Skapa ett nytt e-postmeddelande och tillämpa etiketten Allmänt. I meddelandeverktygsfältet väljer du knappen Känslighet och sedan Allmänt.

    3. Definiera fältet Till med din egen e-postadress, fältet Ämne som: och skicka Testing a warning message for the General label sedan e-postmeddelandet.

      E-postmeddelandet skickas och ingen varning visas.

Be användare att motivera sändning av omärkt innehåll

Den här proceduren beskriver hur du konfigurerar avancerade inställningar så att användarna måste motivera sitt resonemang för att skicka omärkt innehåll.

  1. Kör PowerShell som administratör på klientdatorn.

  2. Om du Outlook visa ett motiveringsmeddelande för användarna om de försöker skicka ett omärkt e-postmeddelande ersätter du Global med namnet på principen och kör:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Justify"}
    
  3. Testa inställningen i Outlook:

    1. Öppna eller starta om Outlook hämta de uppdaterade inställningarna på klientdatorn.

    2. Skapa ett nytt e-postmeddelande och kontrollera att ingen etikett har tillämpats.

      Om principen till exempel använder en standardetikett använder du knappen för att ta bort den.

    3. Definiera fältet Till med din egen e-postadress, fältet Ämne som: och skicka Testing the justification message for unlabeled content sedan e-postmeddelandet.

      Ett popup-fönster visas som liknar följande exempel:

      Exempel på motiveringsmeddelande för omärkt innehåll

    4. Välj ett av alternativen. Om du väljer det tredje alternativet Övrigt, enligt förklaringen, anger du lite exempeltext i textrutan.

    5. Välj Bekräfta och skicka.

      E-postmeddelandet skickas.

Fortsätt med kommandotolken Anpassa den kostnadsfria textens motivering.

Anpassa frågan om den kostnadsfria textberättiganden

Den här proceduren beskriver hur du anpassar det tredje alternativet i standardmeddelandet om motivering.

Du kanske till exempel vill lägga till text där för att uppmana användaren att lägga till specifik information eller påminna användarna om att de inte ska ange känsliga data.

  1. Kör PowerShell som administratör på klientdatorn.

  2. Om du vill anpassa den kostnadsfria textrutan i motiveringsmeddelandet som visas ersätter du Global med principnamnet och kör:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
    

    Tips

    Ersätt värdet inom citattecken med annan text som du vill lägga till där i stället.

  3. Testa inställningen i Outlook:

    1. Öppna eller starta om Outlook hämta de uppdaterade inställningarna på klientdatorn.

    2. Skapa ett nytt e-postmeddelande och kontrollera att ingen etikett har tillämpats.

      Om principen till exempel använder en standardetikett använder du knappen för att ta bort den.

    3. Definiera fältet Till med din egen e-postadress, fältet Ämne som: och skicka Testing a customized free text justification prompt sedan e-postmeddelandet.

      Popup-meddelandet för motivering visas, den här gången med din anpassade text. Exempel:

      Exempel på motiveringsuppfråga med anpassad fritextuppfråga

Blockera användare från att skicka omärkta PowerPoint meddelanden

Den här proceduren beskriver hur du blockerar användarna från att skicka omärkta PowerPoint filer från Outlook.

  1. Kör PowerShell som administratör på klientdatorn.

  2. Om du vill blockera omärkt innehåll från att skickas Outlook ersätter du Global med principnamnet och kör:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Block"}
    
  3. Om du vill begränsa blockeringsbeteendet till PowerPoint specifika filtyper ersätter du Global med principnamnet och kör:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.POTX,.POTM,.POT,.PPTX"}
    
  4. Testa inställningen i Outlook:

    1. På klientdatorn öppnar du PowerPoint och skapar en .pptx fil. Se till att lämna filen omärkt.

    2. Öppna eller starta Outlook för att hämta de uppdaterade inställningarna.

    3. Bifoga den omärkta PowerPoint i ett nytt Outlook meddelande.

    4. Definiera fältet Till med din egen e-postadress, fältet Ämne som: och skicka Testing sending unlabeled PowerPoint files sedan e-postmeddelandet.

      Outlook blockerar e-postmeddelandet från att skickas och visar följande meddelande:

      Exempel på blockeringsmeddelande för en omärkt PowerPoint bifogad fil

Fortsätt med Anpassa blockeringsmeddelandet för omärkta PowerPoint meddelanden.

Anpassa blockmeddelandet för omärkta PowerPoint meddelanden

Den här proceduren beskriver hur du anpassar meddelandet som visas när en användare försöker skicka en omärkt PowerPoint till externa användare.

Viktigt

Den här proceduren åsidosätter alla inställningar som du redan har definierat med hjälp av den avancerade egenskapen OutlookUnlabeledCollaborationAction och visas endast i självstudiesyfte.

I produktion rekommenderar vi att du undviker problem genom att antingen använda den avancerade egenskapen OutlookUnlabeledCollaborationAction för att definiera dina regler eller genom att definiera komplexa regler med en json-fil enligt definitionen nedan, men inte båda.

Definiera regeln med hjälp av en json-fil:

  1. Skapa en .json-fil med OutlookCollaborationRule_1.json med följande kod:

    {   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",
                     "LabelId" : null,
                    "Extensions": [
                                    ".PPTX",
                                    ".PPTM",
                                    ".POTX",
                                    ".POTM",
                                    ".POT",
                                    ".PPTX"
                                 ]
    
                },
                {                   
                    "type" : "EmailLabel",
                     "LabelId" : null
                }
            ]
        },      
        {           
            "type" : "Email Block",             
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Email Blocked",                 
                    "Body": "Sending PowerPoint files to external recipients requires that you label your files so that we can classify and protect Contoso content.<br><br>List of attachments that are not labeled:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso’s policies.<br><br>Label your document and send it again."              
                },          
            },          
            "DefaultLanguage": "en-us"      
        }   
      ] 
    }
    
  2. Spara filen OutlookCollaborationRule_1.json på en plats som är tillgänglig för klientdatorn.

  3. Kör PowerShell som administratör på klientdatorn.

  4. Om du vill anpassa blockeringsmeddelandet kopierar du följande kod och ersätter C:\OutlookCollaborationRule_1.json med sökvägen till .json-filen och Allmänt med namnet på principen.

    $filedata = Get-Content "C:\OutlookCollaborationRule_1.json”
    Set-LabelPolicy -Identity General -AdvancedSettings @{OutlookCollaborationRule_1 ="$filedata"}    
    

    Kör koden för att implementera inställningarna som definierats i .json-filen.

  5. Testa inställningen i Outlook:

    1. På klientdatorn öppnar du PowerPoint och skapar en .pptx fil. Se till att lämna filen omärkt.

    2. Öppna eller starta Outlook för att hämta de uppdaterade inställningarna.

    3. Bifoga den omärkta PowerPoint i ett nytt Outlook meddelande.

    4. Definiera fältet Till med din egen e-postadress, fältet Ämne som: och skicka Testing customized blocking message for unlabeled PowerPoint files sedan e-postmeddelandet.

      Outlook blockerar e-postmeddelandet från att skickas och visar följande meddelande:

      Anpassat blockmeddelande för PowerPoint filer utan etikett

Fortsätt med Använd händelselogg för att identifiera meddelanden och användaråtgärder för etiketten Allmänt.

Använd händelseloggen för att identifiera meddelanden och användaråtgärder för etiketten Allmänt

I den här självstudien har du lärt dig hur du anpassar AIP:s beteende i Outlook för att förhindra några typer av översharing, inklusive varning, motivering och blockering av meddelanden. Du har också kontrollerat beteendet från Outlook på den lokala klientdatorn.

Nu kan du starta Windows Loggboken för att kontrollera loggarna för de åtgärder som har inträffat.

Så här kontrollerar du Loggboken AIP-loggningshändelser:

På klientdatorn öppnar du programmet Windows Loggboken program och går till Program- och tjänstloggar > Azure Information Protection.

En informationshändelse loggas för varje test som du har utfört, inklusive information om både meddelandet och användarsvaret:

  • Varna meddelanden: Information ID 301
  • Motivera meddelanden: Information ID 302
  • Blockera meddelanden: Information ID 303

Exempel:

Kontrollera händelseloggen för dina varningsmeddelandetester

Det första testet var att varna användaren och du valde Avbryt. I det här fallet visar användarsvaret Avvisat i den första händelsen 301:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing a warning message for the General label.msg
Item Name: Testing a warning message for the General label
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Dismissed

Men sedan valde du Bekräfta och Skicka, vilket visas i nästa händelse 301, där Användarsvar visar Bekräftad:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing a warning message for the General label.msg
Item Name: Testing a warning message for the General label
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Confirmed

Kontrollera händelseloggen för att se om du har justerat meddelandetesterna

Samma mönster upprepas för det motiverande meddelandet, som har en händelse 302. Den första händelsen har användarsvaret Avvisad och den andra visar den motivering som valdes. Exempel:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the justification message for unlabeled content.msg
Item Name: Testing the justification message for unlabeled content
Process Name: OUTLOOK
Action: Justify
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
User Justification: I confirm the recipients are approved for sharing this content
Action Source: 
User Response: Confirmed

Kontrollera händelseloggen för blockeringsmeddelandetesterna

Längst upp i händelseloggen loggas blockmeddelandet, som har händelse 303. Exempel:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing sending unlabeled PowerPoint files.msg
Item Name: Testing sending unlabeled PowerPoint files
Process Name: OUTLOOK
Action: Block
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 

Rensa resurser

När du är klar med den här självstudien kan du behålla testprincipen för ytterligare referens eller ta bort den för att rensa dina resurser.

Om du vill ta bort principen gör du det i Microsoft 365 Efterlevnadscenter.

Mer information finns i Microsoft 365 dokumentationen

När den har tagits Outlook på klientdatorn så att den inte längre konfigureras med inställningarna som definierats i den här självstudien.

Nästa steg

För snabbare testning använde den här självstudien ett e-postmeddelande till en enda mottagare och utan bifogade filer.

Använd samma metoder med flera mottagare och etiketter, eller bifogade filer, där etiketteringsstatusen ibland är mindre uppenbar för användarna.

Du kanske till exempel vill att ett popup-meddelande ska visas på e-postmeddelanden med etiketten Public (Offentlig) men ha en PowerPoint presentation bifogad med etiketten Allmänt.

Mer information om avancerade egenskaper och Outlook anpassningar finns i Administratörsguide: Anpassade konfigurationer för den enhetliga Azure Information Protection-klienten för etikettering.