Självstudie: Konfigurera Azure Information Protection för att styra överdelning av information med hjälp av Outlook

  • Artikel

E-post är en av de vanligaste metoderna för att användarna ska dela information på ett olämpligt sätt, oavsett om det finns i själva e-postmeddelandet eller i bifogade filer. Du kan använda lösningar för dataförlustskydd (DLP) som kan identifiera känd känslig information och förhindra att den lämnar organisationens gränser. Men du kan också använda Azure Information Protection-klienten med vissa avancerade klientinställningar för att förhindra överdelning och även utbilda användarna med interaktiva meddelanden som ger feedback i realtid.

Den här självstudien vägleder dig genom en grundläggande konfiguration som bara använder en etikett för att illustrera varningen, motivera och blockera meddelanden som användarna kan se och svara på.

I den här guiden får du lära dig att:

  • Konfigurera inställningar som implementerar varnings-, justerings- eller block-popup-meddelanden i Outlook
  • Se dina inställningar i praktiken
  • Granska de loggade användarmeddelandena och åtgärderna i händelseloggen

Du kan slutföra den här självstudien på cirka 15 minuter.

Förutsättningar

För att slutföra den här kursen behöver du:

  1. En prenumeration som innehåller Azure Information Protection Plan 2.

    Om du inte har en prenumeration som innehåller den här planen kan du skapa ett kostnadsfritt konto för din organisation.

  2. Fönstret Azure Information Protection läggs till i Azure Portal och du har minst en etikett publicerad i Azure Information Protection globala principen.

    Även om den här självstudien använder standardetiketten Allmänt kan du ersätta den här etiketten med en annan om du vill. Om du behöver hjälp med att lägga till Azure Information Protection-fönstret, eller om du inte har några etiketter publicerade i den globala principen ännu, kan du läsa Snabbstart: Lägga till Azure Information Protection i Azure Portal och visa principen.

  3. En dator som kör Windows (minst Windows 7 med Service Pack 1) och på den här datorn kan du logga in på Outlook. Var beredd på att starta om Outlook flera gånger under den här självstudien.

  4. Den klassiska Azure Information Protection-klienten som är installerad på din Windows dator (minst Windows 7 med Service Pack 1).

Tips

En fullständig lista över krav för att använda Azure Information Protection finns i Krav för Azure Information Protection.

Nu sätter vi igång. Fortsätt med Identifiera ett etikett-ID för testning.

Enhetlig etiketteringsklient

Om du använder klienten för enhetlig etikettering i stället för den klassiska klienten kan du läsa följande instruktioner som förklarar hur du använder avancerade PowerShell-inställningar för motsvarande konfigurationer i den här självstudien:

Identifiera ett etikett-ID för testning

I den här självstudien använder vi bara en etikett för att se det resulterande beteendet för användare. Du kan använda valfri etikett, men ett bra exempel för testning är standardetiketten Allmänt, som vanligtvis är lämplig för affärsdata som inte är avsedda för offentlig förbrukning och som inte tillämpar skydd.

Om du vill ange den valda etiketten måste du känna till dess ID, som du identifierar från Azure Portal:

  1. Öppna ett nytt webbläsarfönster och logga in på Azure Portal som global administratör. Gå sedan till Azure Information Protection.

    I sökrutan för resurser, tjänster och dokument: Börja skriva information och välj Azure Information Protection.

    Om du inte är global administratör använder du följande länk för alternativa roller: Logga in på Azure Portal

  2. Välj Klassificeringsetiketter> och välj sedan etiketten Allmänt för att öppna fönstret Etikett: Allmänt.

  3. Leta upp etikett-ID:t längst ned i fönstret:

    Azure Information Protection tutorial - locate the label ID

  4. Kopiera och klistra in etikett-ID-värdet i en tillfällig fil så att det här värdet enkelt kan kopieras för ett senare steg. I vårt exempel är det här etikett-ID-värdet 0e421e6d-ea17-4fdb-8f01-93a3e71333b8.

  5. Stäng fönstret Etikett: Allmänt, men stäng inte Azure Portal.

Skapa en principomfattning för att testa de nya avancerade klientinställningarna

Vi skapar en ny princip med omfång så att de nya avancerade klientinställningarna bara gäller för dig, för testning.

  1. I fönstret Azure Information Protection – Principer väljer du Lägg till en ny princip. Sedan visas fönstret Princip som visar etiketter och inställningar från din befintliga globala princip.

  2. Ange principnamnet för självstudiekursen om överdelning och en beskrivning av Avancerade klientinställningar för att styra överdelning med hjälp av Outlook.

  3. Välj Ange vilka användare/grupper som ska få den här principen och ange ditt eget användarkonto med hjälp av efterföljande fönster.

  4. Nu när ditt kontonamn visas i fönstret Princip väljer du Spara utan att göra ytterligare ändringar i etiketterna eller inställningarna i det här fönstret. Du kan uppmanas att bekräfta ditt val.

Den här begränsade principen är nu redo att lägga till avancerade klientinställningar. Stäng självstudiefönstret Princip: Dela över, men stäng inte Azure Portal.

Konfigurera och testa avancerade klientinställningar för att varna, fråga efter motivering eller blockera e-postmeddelanden som har etiketten Allmänt

I det här steget i självstudien anger vi följande avancerade klientinställningar och testar var och en i tur och ordning:

  • OutlookWarnUntrustedCollaborationLabel
  • OutlookJustifyUntrustedCollaborationLabel
  • OutlookBlockUntrustedCollaborationLabel

Skapa den avancerade klientinställningen för att varna användare om ett e-postmeddelande eller en bifogad fil har etiketten Allmänt

Med den nyskapade principomfattningen lägger vi till en ny avancerad klientinställning med namnet OutlookWarnUntrustedCollaborationLabel med ID:t för etiketten Allmänt :

  1. Gå tillbaka till fönstret Azure Information Protection – Principer och välj snabbmenyn (...) bredvid Självstudiekurs om överdelning. Välj därefter avancerade inställningar.

  2. I fönstret Avancerade inställningar skriver du det avancerade inställningsnamnet OutlookWarnUntrustedCollaborationLabel och klistrar in ditt eget etikett-ID för värdet. Använd vårt exempeletikett-ID:

    Azure Information Protection tutorial - create OutlookWarnUntrustedCollaborationLabel advanced client setting

  3. Välj Spara och stäng.

Stäng inte fönstret Principer eller Azure Portal.

Testa den avancerade klientinställningen för att varna användare om ett e-postmeddelande eller en bifogad fil har etiketten Allmänt

På klientdatorn ser vi nu resultatet av konfigurationen av den här avancerade klientinställningen.

  1. Öppna Outlook på klientdatorn.

    Om Outlook redan är öppen startar du om den. Omstarten krävs för att ladda ned ändringen som vi precis har gjort.

  2. Skapa ett nytt e-postmeddelande och använd etiketten Allmänt . Välj till exempel knappen Skydda på fliken Arkiv och välj sedan Allmänt.

  3. Ange din egen e-postadress för fältet Till och skriv Testa etiketten Allmänt för varningsmeddelandet för ämnet. Skicka sedan e-postmeddelandet.

  4. Som ett resultat av den avancerade klientinställningen visas följande varning där du uppmanas att bekräfta innan du skickar e-postmeddelandet. Exempel:

    Azure Information Protection tutorial - see OutlookWarnUntrustedCollaborationLabel advanced client setting

  5. Som om du är en användare som av misstag har försökt skicka e-post till något som har märkts som Allmänt väljer du Avbryt. Du ser att e-postmeddelandet inte skickas men att e-postmeddelandet finns kvar så att du kan göra ändringar, till exempel ändra innehållet eller etiketten.

  6. Utan att göra några ändringar väljer du Skicka igen. Den här gången, som om du är en användare som bekräftar att innehållet är lämpligt för att skicka, väljer du Bekräfta och Skicka. E-postmeddelandet skickas.

Ändra den avancerade klientinställningen så att användarna uppmanas att motivera om ett e-postmeddelande har etiketten Allmänt

Vi redigerar den befintliga avancerade klientinställningen för att behålla ditt allmänt etikett-ID, men ändrar namnet till OutlookJustifyUntrustedCollaborationLabel:

  1. I fönstret Azure Information Protection – Principer väljer du snabbmenyn (...) bredvid Självstudiekurs om överdelning. Välj därefter avancerade inställningar.

  2. I fönstret Avancerade inställningar ersätter du det tidigare avancerade inställningsnamnet som du skapade, OutlookWarnUntrustedCollaborationLabel, med det nya namnet OutlookJustifyUntrustedCollaborationLabel:

    Azure Information Protection tutorial - create OutlookJustifyUntrustedCollaborationLabel advanced client setting

  3. Välj Spara och stäng.

Stäng inte fönstret Principer eller Azure Portal.

Testa den avancerade klientinställningen för att uppmana användarna att motivera om ett e-postmeddelande har etiketten Allmänt

På klientdatorn ser vi nu resultatet av den här nya avancerade klientinställningen.

  1. Starta om Outlook på klientdatorn för att ladda ned ändringen vi precis gjort.

  2. Skapa ett nytt e-postmeddelande och tillämpa etiketten Allmänt som tidigare. Välj till exempel knappen Skydda på fliken Arkiv och välj sedan Allmänt.

  3. Ange din egen e-postadress för fältet Till och för ämnet skriver du Testa etiketten Allmänt för meddelandet Justera. Skicka sedan e-postmeddelandet.

  4. Den här gången visas följande meddelande där du uppmanas att ange en motivering innan du skickar e-postmeddelandet. Exempel:

    Azure Information Protection tutorial - see OutlookJustifyUntrustedCollaborationLabel advanced client setting

  5. Som om du är en användare som av misstag har försökt skicka e-post till något som har märkts som Allmänt väljer du Avbryt. Du ser att e-postmeddelandet inte skickas men själva e-postmeddelandet förblir så att du kan göra ändringar, till exempel ändra innehållet eller etiketten.

  6. Utan att göra några ändringar väljer du Skicka igen. Den här gången väljer du något av motiveringsalternativen, till exempel jag bekräftar att mottagarna har godkänts för att dela det här innehållet och väljer sedan Bekräfta och Skicka. E-postmeddelandet skickas.

Ändra den avancerade klientinställningen för att blockera användare från att skicka ett e-postmeddelande med etiketten Allmänt

Vi redigerar den befintliga avancerade klientinställningen en gång till för att behålla ditt allmänt etikett-ID, men ändrar namnet till OutlookBlockUntrustedCollaborationLabel:

  1. I Azure Portal går du till fönstret Azure Information Protection – Principer och väljer snabbmenyn (...) bredvid självstudien Omdelning. Välj därefter avancerade inställningar.

  2. I fönstret Avancerade inställningar ersätter du det tidigare avancerade inställningsnamnet du skapade, OutlookJustifyUntrustedCollaborationLabel, med det nya namnet OutlookBlockUntrustedCollaborationLabel:

    Azure Information Protection tutorial - create OutlookBlockUntrustedCollaborationLabel advanced client setting

  3. Välj Spara och stäng.

Stäng inte fönstret Principer eller Azure Portal.

Testa den avancerade klientinställningen för att blockera användare från att skicka ett e-postmeddelande med etiketten Allmänt

På klientdatorn ser vi nu resultatet av den här nya avancerade klientinställningen.

  1. Starta om Outlook på klientdatorn för att ladda ned ändringen som vi precis har gjort.

  2. Skapa ett nytt e-postmeddelande och tillämpa etiketten Allmänt som tidigare. På fliken Arkiv väljer du till exempel knappen Skydda och sedan Allmänt.

  3. Ange din egen e-postadress för fältet Till och för ämnet skriver du Testa etiketten Allmänt för blockeringsmeddelandet. Skicka sedan e-postmeddelandet.

  4. Den här gången visas följande meddelande som förhindrar att e-postmeddelandet skickas. Exempel:

    Azure Information Protection tutorial - block email popup message

  5. Som användare ser du att det enda tillgängliga alternativet är OK, vilket tar dig tillbaka till e-postmeddelandet där du kan göra ändringar. Välj OK och avbryt det här e-postmeddelandet.

Använd händelseloggen för att identifiera meddelanden och användaråtgärder för etiketten Allmänt

Innan vi går vidare till nästa scenario för när ett e-postmeddelande eller en bifogad fil inte har en etikett ska du börja Loggboken och gå till Program- och tjänstloggar>i Azure Information Protection.

För varje test som du gjorde skapas informationshändelser för att registrera både meddelandet och användarsvaret:

  • Varna meddelanden: InformationS-ID 301

  • Justera meddelanden: InformationS-ID 302

  • Blockera meddelanden: InformationS-ID 303

Det första testet var till exempel att varna användaren och du valde Avbryt, så användarsvaret visar Avvisat i den första händelsen 301. Exempel:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Warn message.msg
Item Name: Testing the General label for the Warn message
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Dismissed

Sedan har du dock valt Bekräfta och Skicka, vilket visas i nästa händelse 301, där användarsvaret visar Bekräftad:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Warn message.msg
Item Name: Testing the General label for the Warn message
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Confirmed

Samma mönster upprepas för justeringsmeddelandet, som har händelse 302. Den första händelsen har användarsvaretAvvisad och den andra visar den motivering som valdes. Exempel:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Justify message.msg
Item Name: Testing the General label for the Justify message
Process Name: OUTLOOK
Action: Justify
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
User Justification: I confirm the recipients are approved for sharing this content
Action Source: 
User Response: Confirmed

Längst upp i händelseloggen visas blockmeddelandet loggat, som har händelse 303. Exempel:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Block message.msg
Item Name: Testing the General label for the Block message
Process Name: OUTLOOK
Action: Block
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source:

Valfritt: Skapa ytterligare en avancerad klientinställning för att undanta dessa meddelanden för interna mottagare

Du har testat din varning, motivera och blockera meddelanden med hjälp av din egen e-postadress som mottagare. I en produktionsmiljö kan du välja att endast visa dessa meddelanden för dina angivna etiketter om mottagarna är externa för din organisation. Du kan utöka undantaget till partner som din organisation regelbundet arbetar med.

För att illustrera hur detta fungerar skapar vi ytterligare en avancerad klientinställning med namnet OutlookBlockTrustedDomains och anger ditt eget domännamn från din e-postadress. Detta förhindrar att blockeringsmeddelandet som du såg tidigare visas för mottagare som delar ditt domännamn i sin e-postadress, men som fortfarande visas för andra mottagare. På samma sätt kan du skapa ytterligare avancerade klientinställningar för OutlookWarnTrustedDomains och OutlookJustifyTrustedDomains.

  1. I Azure Portal går du till fönstret Azure Information Protection – Principer och väljer snabbmenyn (...) bredvid självstudien Omdelning. Välj därefter avancerade inställningar.

  2. I fönstret Avancerade inställningar skriver du det avancerade inställningsnamnet OutlookBlockTrustedDomains och klistrar in domännamnet från din e-postadress för värdet. Exempel:

    Azure Information Protection tutorial - create OutlookBlockTrustedDomains advanced client setting

  3. Välj Spara och stäng. Stäng inte fönstret Principer eller Azure Portal.

  4. Upprepa nu föregående test för att blockera användare från att skicka ett e-postmeddelande med etiketten Allmänt, och du ser inte längre blockeringsmeddelandet när du använder din egen e-postadress. E-postmeddelandet skickas utan avbrott.

    Bekräfta att blockeringsmeddelandet fortfarande visas för externa mottagare genom att upprepa testet en gång till men ange en mottagare utanför organisationen. Den här gången ser du blockeringsmeddelandet igen och visar den nya mottagaradressen som obetrodd.

Konfigurera och testa en avancerad klientinställning för att varna, fråga efter motivering eller blockera e-postmeddelanden som inte har en etikett

I det här steget i självstudien anger vi en ny avancerad klientinställning med olika värden och testar var och en i sin tur:

  • OutlookUnlabeledCollaborationAction

Skapa den avancerade klientinställningen för att varna användare om ett e-postmeddelande inte har någon etikett

Den här nya avancerade klientinställningen med namnet OutlookUnlabeledCollaborationAction behöver inte ett etikett-ID, men anger vilken åtgärd som ska vidtas för omärkt innehåll:

  1. I Azure Portal går du tillbaka till fönstret Azure Information Protection – Principer och väljer snabbmenyn (...) bredvid självstudien Omdelning. Välj därefter avancerade inställningar.

  2. I fönstret Avancerade inställningar skriver du namnet på den avancerade inställningen , OutlookUnlabeledCollaborationAction, och för värdet anger du Varna:

    Azure Information Protection tutorial - create OutlookUnlabeledCollaborationAction advanced client setting with Warn value

  3. Välj Spara och stäng.

Stäng inte fönstret Principer eller Azure Portal.

Testa den avancerade klientinställningen för att varna användare om ett e-postmeddelande inte har någon etikett

På klientdatorn ser vi nu resultatet av att konfigurera den här nya avancerade klientinställningen för när innehållet inte har någon etikett:

  1. Starta om Outlook på klientdatorn för att ladda ned ändringen som vi precis har gjort.

  2. Skapa ett nytt e-postmeddelande och använd inte en etikett den här gången.

  3. Ange din egen e-postadress för fältet Till . För ämnet skriver du Testa skicka ett e-postmeddelande utan etikett för varningsmeddelandet. Skicka sedan e-postmeddelandet.

  4. Den här gången visas ett bekräftelsemeddelande som du kan bekräfta och skicka eller avbryta:

    Azure Information Protection tutorial - see OutlookUnlabeledCollaborationAction advanced client setting with Warn value

  5. Välj Bekräfta och skicka.

Ändra den avancerade klientinställningen så att användarna uppmanas att motivera om ett e-postmeddelande är omärkt

Vi redigerar den befintliga avancerade klientinställningen för att behålla namnet på OutlookUnlabeledCollaborationAction, men ändrar värdet till Justera:

  1. I fönstret Azure Information Protection – Principer väljer du snabbmenyn (...) bredvid självstudien Omdelning. Välj därefter avancerade inställningar.

  2. I fönstret Avancerade inställningar letar du upp inställningen OutlookUnlabeledCollaborationAction och ersätter det tidigare värdet Varna med det nya värdet Justera:

    Azure Information Protection tutorial - change OutlookUnlabeledCollaborationAction advanced client setting to Justify value

  3. Välj Spara och stäng.

Stäng inte fönstret Principer eller Azure Portal.

Testa den avancerade klientinställningen för att uppmana användarna att motivera om ett e-postmeddelande inte är märkt

På klientdatorn ser vi nu resultatet av att ändra värdet för den här avancerade klientinställningen.

  1. Starta om Outlook på klientdatorn för att ladda ned ändringen som vi precis har gjort.

  2. Skapa ett nytt e-postmeddelande och använd ingen etikett precis som tidigare.

  3. Ange din egen e-postadress för fältet Till , och för ämnet skriver du Testa skicka ett e-postmeddelande utan etikett för justeringsmeddelandet. Skicka sedan e-postmeddelandet.

  4. Den här gången visas meddelandet Justification Required (Motivering krävs) med olika alternativ:

    Azure Information Protection tutorial - see OutlookUnlabeledCollaborationAction advanced client setting with Justify value

  5. Välj ett alternativ, till exempel Min chef godkände delning av det här innehållet. Välj sedan Bekräfta och Skicka.

Ändra den avancerade klientinställningen för att blockera användare från att skicka ett e-postmeddelande som inte är märkt

Precis som tidigare redigerar vi den befintliga avancerade klientinställningen för att behålla namnet på OutlookUnlabeledCollaborationAction, men ändrar värdet till Blockera:

  1. I fönstret Azure Information Protection – Principer väljer du snabbmenyn (...) bredvid självstudien Omdelning. Välj därefter avancerade inställningar.

  2. I fönstret Avancerade inställningar letar du upp inställningen OutlookUnlabeledCollaborationAction och ersätter det tidigare värdet för Justera med det nya värdet Blockera:

    Azure Information Protection tutorial - change OutlookUnlabeledCollaborationAction advanced client setting to Block value

  3. Välj Spara och stäng.

Stäng inte fönstret Principer eller Azure Portal.

Testa den avancerade klientinställningen för att blockera användare från att skicka ett e-postmeddelande som inte är märkt

På klientdatorn ser vi nu resultatet av att ändra värdet för den här avancerade klientinställningen.

  1. Starta om Outlook på klientdatorn för att ladda ned ändringen som vi precis har gjort.

  2. Skapa ett nytt e-postmeddelande och använd ingen etikett precis som tidigare.

  3. Ange din egen e-postadress för fältet Till . För ämnet skriver du Testa skicka ett e-postmeddelande utan etikett för blockeringsmeddelandet. Skicka sedan e-postmeddelandet.

  4. Den här gången visas följande meddelande som förhindrar att e-postmeddelandet skickas, med en förklaring för användaren. Exempel:

    Azure Information Protection tutorial - see OutlookWarnUntrustedCollaborationLabel advanced client setting with Block value

  5. Som användare ser du att det enda tillgängliga alternativet är OK, vilket tar dig tillbaka till e-postmeddelandet där du kan välja en etikett.

    Välj OK och avbryt det här e-postmeddelandet.

Använd händelseloggen för att identifiera meddelanden och användaråtgärder för den omärkta e-postmeddelandet

Som tidigare loggas meddelandena och användarsvaren i Loggboken, Program- och tjänstloggar>Azure Information Protection, med samma händelse-ID.

  • Varna meddelanden: InformationS-ID 301

  • Justera meddelanden: InformationS-ID 302

  • Blockera meddelanden: InformationS-ID 303

Till exempel resultatet av vår motiveringsprompt när e-postmeddelandet inte hade någon etikett:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing send an email without a label for the Justify message.msg
Item Name: Testing send an email without a label for the Justify message
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source: 
User Response: Confirmed

Rensa resurser

Gör följande om du inte vill behålla de ändringar som du har gjort i den här självstudien:

  1. I Azure Portal går du till fönstret Azure Information Protection – Principer och väljer snabbmenyn (...) bredvid självstudien Omdelning. Välj sedan Ta bort princip.

  2. Om du uppmanas att bekräfta väljer du OK.

Starta om Outlook så att den inte längre är konfigurerad för de inställningar som vi har konfigurerat för den här självstudien.

Nästa steg

För snabbare testning använde den här självstudien ett e-postmeddelande till en enskild mottagare och utan bifogade filer. Men du kan använda samma metod med flera mottagare, flera etiketter och även tillämpa samma logik på e-postbilagor vars etiketteringsstatus ofta är mindre uppenbar för användarna. Till exempel är själva e-postmeddelandet märkt offentligt, men PowerPoint bifogade presentationen har etiketten Allmänt. Mer information om konfigurationsalternativen finns i följande avsnitt i administratörsguiden: Implementera popup-meddelanden i Outlook som varnar, motiverar eller blockerar e-postmeddelanden som skickas

Administratörsguiden innehåller också information om andra avancerade klientinställningar som du kan använda för att anpassa beteendet för klienten. En fullständig lista finns i Tillgängliga avancerade klientinställningar.