Azure 信息保护 (AIP) 、分类和保护

适用于:Azure信息保护

相关内容:Azure信息保护统一标签客户端和经典客户端Windows

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

Azure 信息保护 (AIP) 是一种基于云的解决方案,使组织能够通过应用标签对文档和电子邮件进行分类和保护。

例如,管理员可能会配置一个标签,该标签包含用于检测敏感数据(例如信用卡信息)的规则。 在这种情况下,在 Word 文件中保存信用卡信息的任何用户都可能会看到文档顶部的工具提示,其中建议对此方案应用相关标签。

标签可以 分类,还可以 选择性地 保护文档,从而可以:

  • 跟踪和控制 内容的使用方式
  • 分析数据流 以深入了解业务 - 检测 风险行为 并采取纠正措施
  • 跟踪文档访问 并防止数据泄漏或滥用
  • 更多...

标签如何使用 AIP 应用分类

使用 AIP 标记内容包括:

  • 无论 数据存储在何处或与之共享,都可以检测到的分类。
  • 视觉标记,如页眉、页脚或水印。
  • 元数据,以纯文本添加到文件和电子邮件头。 明确的文本元数据可确保其他服务能够识别分类并采取适当的措施

例如,在下图中,标签将电子邮件分类为"常规":

显示 Azure 信息保护分类的示例电子邮件页脚和页眉

此示例中,该标签还:

  • 为电子邮件 添加了敏感度 的页脚: 常规。 此页脚是一个可视指示器,用于所有收件人,指示它适用于不应在组织外部发送的常规业务数据。
  • 电子邮件头中的嵌入元数据。 邮件头数据使电子邮件服务可以检查标签,理论上创建审核条目,或防止在组织外部发送。

管理员可以使用规则和条件自动应用标签、由用户手动应用,或者使用管理员定义向用户显示的建议的组合来应用标签。

AIP 如何保护数据

Azure 信息保护使用 Azure RMS (Azure rights Management) 来保护数据。

Azure RMS 与其他 Microsoft 云服务和应用程序(例如 Office 365 和 Azure Active Directory)集成,还可以与自己的或第三方应用程序和信息保护解决方案一起使用。 Azure RMS 适用于本地和云解决方案。

Azure RMS 使用加密、标识和授权策略。 与 AIP 标签类似,使用 Azure RMS 应用的保护将保留在文档和电子邮件中,而不考虑文档或电子邮件的位置,确保即使在与其他用户共享内容时仍可以控制内容。

保护设置可以是:

  • 标签配置的一部分,以便用户只需应用标签,就对文档和电子邮件进行分类和保护。

  • 由支持保护但不标记的应用程序和服务自行使用。

    对于仅支持保护的应用程序和服务,保护设置用作 权限管理模板

例如,您可能想要配置报表或销售预测电子表格,以便仅您的组织中的人员可以访问它。 在这种情况下,可以应用保护设置来控制该文档是可编辑还是限制为只读,或防止打印。

电子邮件可以具有类似的保护设置,以防止转发或使用"全部答复"选项。

权限管理模板

激活 Azure Rights Management 服务后,立即可以使用两个默认权限管理模板来限制对组织内部用户的数据访问权限。 立即使用这些模板,或配置自己的保护设置,以在新模板中应用限制性更强控件。

权限管理模板可以与支持 Azure Rights Management 的任何应用程序或服务一同使用。

下图显示了一个来自 Exchange 管理中心的示例,可以在其中配置Exchange Online规则以使用 RMS 模板:

为模板选择模板Exchange Online

注意

创建包含保护设置的 AIP 标签还会创建相应的权限管理模板,该模板可以独立于标签使用。

有关详细信息,请参阅什么是 Azure Rights Management?

文档和电子邮件的 AIP 和最终用户集成

AIP 客户端安装信息保护栏Office应用程序,使最终用户能够将 AIP 与文档和电子邮件集成。

例如,在"Excel:

Azure 信息保护栏中的示例Excel

虽然标签可自动应用于文档和电子邮件,可消除用户的猜测或符合组织策略,但信息保护栏可让最终用户选择标签并自行应用分类。

此外,AIP 客户端允许用户使用文件资源管理器中的右键单击菜单来分类和保护其他文件类型Windows文件。 例如:

文件资源管理器右键单击

"分类和保护"菜单选项的工作方式类似于应用程序Office信息保护栏,使用户能够选择标签或设置自定义权限。

提示

Power 用户或管理员可能会发现,PowerShell 命令对于管理和设置多个文件的分类和保护更加高效。 相关 PowerShell 命令包含在客户端中,也可以单独安装。

用户和管理员可以使用文档跟踪网站监视受保护的文档、监视访问这些文档的用户以及访问时间。 如果他们怀疑滥用,也可以撤消这些文档的访问权限。 例如:

文档跟踪网站中的

电子邮件的其他集成

将 AIP Exchange Online为向任何用户发送受保护的电子邮件提供了额外优势,同时保证他们可以在任何设备上阅读它。

例如,您可能需要将敏感信息发送到使用Gmail、HotmailMicrosoft帐户的个人电子邮件地址,或者发送给在 Office 365 或 Azure AD 中没有帐户的用户。 这些电子邮件应进行临时加密和传输,并且仅由原始收件人读取。

此方案需要Office 365 邮件加密功能。 如果收件人无法在内置电子邮件客户端中打开受保护的电子邮件,他们可以使用一次密码在浏览器中读取敏感信息。

例如,Gmail 用户在收到的电子邮件中可能会看到以下提示:

OME 和 AIP 的 Gmail 收件人体验

对于发送电子邮件的用户,所需的操作与向其自己的组织中用户发送受保护的电子邮件的操作相同。 例如,选择 AIP 客户端可以添加到功能区的"不转发"Outlook按钮。

或者 ,"不 转发"功能可以集成到标签中,用户可以选择将分类和保护应用于该电子邮件。 例如:

选择为

管理员还可以配置应用权限保护的邮件流规则,自动为用户提供保护。

附加到Office的任何文档也将自动受到保护。

扫描要分类和保护的现有内容

理想情况下,将在创建文档和电子邮件时标记文档和电子邮件。 但是,你可能有许多现有的文档存储在本地或云中,并且还想要对这些文档进行分类和保护。

使用以下方法之一对现有内容进行分类和保护:

  • 本地存储:使用 Azure信息保护扫描程序发现、分类和保护网络共享上的文档以及Microsoft SharePoint Server和库。

    扫描程序作为服务在 Windows 服务器上运行,并使用相同的策略规则来检测敏感信息,将特定标签应用于文档。

    或者,使用扫描仪将默认标签应用于数据存储库中的所有文档,而不检查文件内容。 在报告模式下使用扫描仪只能发现你可能不知道的敏感信息。

  • 云数据存储:使用Microsoft Defender for Cloud Apps将标签应用于 Box、SharePoint 和 OneDrive。 有关教程,请参阅 自动应用 Azure 信息保护分类标签

下一步

使用快速入门和教程,为自己配置和查看 Azure 信息保护:

如果已准备好为组织部署此服务,请前往 指南