如何将 Azure 信息保护标签迁移到统一的敏感度标签

适用于:Azure信息保护、Office 365

与 Azure信息保护客户端相关Windows

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

将 Azure 信息保护标签迁移到统一标签平台,以便支持统一标签的客户端和服务将其用作 敏感度标签

注意

如果 Azure 信息保护订阅相当新,可能不需要迁移标签,因为租户已在统一的标签平台上。 有关详细信息,请参阅 如何确定租户是否位于统一标签平台上?

迁移标签后,不会看到与 Azure 信息保护经典客户端有任何区别,因为此客户端会继续从 Azure 门户使用 Azure 信息保护策略下载标签。 但是,现在可以将标签与 Azure 信息保护统一标签客户端以及使用敏感度标签的其他客户端和服务一同使用。

在阅读有关迁移标签的说明之前,您可能会发现以下常见问题非常有用:

支持统一标签平台的管理角色

如果在组织中使用管理员角色进行委派管理,可能需要对统一标签平台执行一些更改:

azure Azure AD保护管理员角色 (以前是信息保护管理员) 统一标签平台不支持。 如果此管理角色用于管理 Azure 信息保护,请将此角色的用户添加到合规性管理员、合规性数据管理员或安全管理员的 Azure AD角色 如果需要此步骤的帮助,请参阅授予用户访问 Microsoft 365中心。 还可以在门户和Azure AD中分配Microsoft 365 合规中心。

或者,除了使用角色Microsoft 365 合规中心,还可以为这些用户创建新的角色组,并在此组中添加敏感度标签管理员或组织配置角色

如果不使用这些配置之一授予这些用户访问 Microsoft 365 合规中心,则迁移标签后,他们将无法在 Azure 门户中配置 Azure 信息保护。

迁移标签后,租户的全局管理员可以继续在 Azure 门户和 Microsoft 365 合规中心管理标签和策略。

开始之前

标签迁移有许多好处,但不可逆。 迁移之前,请确保了解以下更改和注意事项:

统一标签的客户端支持

请确保客户端支持统一标签,如有必要,请准备好在 Azure 门户 (中为不支持统一标签) 的客户端以及支持统一标签的客户端准备 Microsoft 365 合规中心 () 。

策略配置

策略(包括策略设置和有权访问策略 (具有作用域) ,并且不会迁移所有高级客户端设置。 在标签迁移后配置这些设置的选项包括:

重要

并非迁移的标签的所有设置都受迁移Microsoft 365 合规中心。 使用"标签设置"部分不支持的表Microsoft 365 合规中心帮助识别这些设置和推荐的操作过程。

保护模板

  • 使用基于云的密钥且属于标签配置的模板也会随标签一起迁移。 不会迁移其他保护模板。

  • 如果有为预定义模板配置的标签,请编辑这些标签并选择"设置权限"选项,以配置模板中的相同保护设置。 具有预定义模板的标签不会阻止标签迁移,但此标签配置在 Microsoft 365 合规中心。

    提示

    为帮助你重新配置这些标签,你可能会发现有两个浏览器窗口非常有用:一个窗口用于选择标签的"编辑模板"按钮以查看保护设置,另一个窗口在选择"设置权限"时配置相同的设置。

  • 迁移具有基于云的保护设置的标签后,保护模板的结果范围是 Azure 门户 (中定义的作用域,或者使用 AIPService PowerShell 模块) 以及Microsoft 365 合规中心中定义的作用域。

显示名称

对于每个标签,Azure 门户只显示显示名称可编辑的标签。 用户在应用中看到此标签名称。

该Microsoft 365 合规中心显示标签显示名称标签的名称和标签名称。 标签名称是首次创建标签时指定的初始名称,后端服务将此属性用于标识目的。 迁移标签时,显示名称保持不变,标签名称从 Azure 门户重命名为标签 ID。

冲突的显示名称

在迁移之前,请确保在迁移完成后显示名称没有冲突。 标签层次结构中同一位置的显示名称必须唯一。

例如,请考虑以下标签列表:

  • 公共
  • 常规
  • 机密
    • 机密\HR
    • 机密\财务
  • 机密
    • Secret\HR
    • Secret\Finance

在此列表中,公共、常规机密机密都是父标签,不能具有重复的名称。 此外 ,"机密\HR" 和" 机密\ 财务"在层次结构中位于同一位置,并且不能具有重复的名称。

但是,跨不同父项的子标签(例如 机密\HRSecret\HR) 在层次结构中不在同一位置,因此可以具有相同的单个名称。

标签中的本地化字符串

不会迁移标签的任何本地化字符串。 使用安全合规性 PowerShell 和 & Set-Label Office 365 &参数,为迁移的标签定义新的本地化字符串

编辑已迁移的标签Microsoft 365 合规中心

迁移后,在 Azure 门户中编辑迁移的标签时,相同的更改会自动反映在Microsoft 365 合规中心。

但是,在门户中编辑迁移的标签Microsoft 365 合规中心,必须返回到 Azure 门户"Azure信息保护 - 统一标签"窗格,然后选择"发布"。

Azure 信息保护客户端需要此附加操作 (经典) 来选取标签更改。

不支持的标签设置Microsoft 365 合规中心

使用下表确定迁移的标签的配置设置不受迁移Microsoft 365 合规中心。 如果标签具有这些设置,迁移完成后,请使用最后一列中的管理指南,然后才将标签发布到Microsoft 365 合规中心。

如果不确定标签的配置方式,可以在 Azure 门户中查看其设置。 如果需要此步骤的帮助,请参阅配置 Azure 信息保护策略

Azure 信息保护 (经典) 可以使用列出的所有标签设置,而没有任何问题,因为它们会继续从 Azure 门户下载标签。

标签配置 统一标签客户端支持 指南Microsoft 365 合规中心
已启用或已禁用的状态

此状态不会同步到Microsoft 365 合规中心
不适用 等效项是标签是否已发布。
使用 RGB 代码从列表中选择或指定的标签颜色 是的 没有用于标签颜色的配置选项。 相反,可以在 Azure 门户中配置标签颜色或使用PowerShell。
使用预定义模板的基于云的保护或基于 HYOK 的保护 预定义模板没有配置选项。 不建议通过此配置发布标签。
使用 Word、Excel 和 PowerPoint 的用户定义权限进行基于云的保护 是的 该Microsoft 365 合规中心支持用户定义权限的配置选项。

如果使用此配置发布标签,请检查应用下表中的 标签的结果
使用用户定义的权限进行基于 HYOK 的保护,Outlook (不转发) HYOK 没有配置选项。 不建议通过此配置发布标签。 如果这样做,则应用标签的结果将列在 下表中
通过 RGB 代码 自定义字体名称、字号和自定义字体颜色,用于 (页眉、页脚、水印) 是的 视觉标记的配置仅限于颜色和字号列表。 可以在不进行更改的情况下发布此标签,尽管无法在 Microsoft 365 合规中心 中查看已配置Microsoft 365 合规中心。

若要更改这些选项,请使用New-Label Office 365安全 合规中心 cmdlet。 为了简化管理,请考虑将颜色更改为"选项"中所列的选项Microsoft 365 合规中心。

注意:Microsoft 365 合规中心支持预定义的字体定义列表。 仅通过 New-Label cmdlet 支持自定义字体和颜色。

如果使用经典客户端,可以在 Azure 门户中对标签进行这些更改。
页眉、 页脚 (视觉标记中的) 是的 AIP 客户端支持此标签配置,Office应用的内置标签。

如果使用不支持此配置的应用使用内置标签,并且无需更改即可发布此标签,则变量在客户端上显示为文本,而不是显示动态值。

有关详细信息,请参阅 Microsoft 365文档
每个应用的视觉标记 是的 此标签配置仅受 AIP 客户端支持,Office内置标签支持。

如果你使用内置标签并发布此标签而不进行更改,视觉标记配置将显示为可变文本,而不是你已配置为在每个应用中显示的视觉标记。
"仅为我"保护 是的 此Microsoft 365 合规中心不允许保存当前所应用加密设置,而不指定任何用户。 在 Azure 门户中,此配置将创建应用"仅为我"保护 的标签

或者,创建应用加密的标签并指定具有任何权限的用户,然后使用 PowerShell 编辑关联的保护模板。 首先,使用New-AipServiceRightsDefinition cmdlet (请参阅示例 3) ,然后使用RightsDefinitions参数设置AipServiceTemplateProperty。
条件和关联的设置

包括自动标记和推荐标签及其工具提示
不适用 使用自动标记作为标签设置中的单独配置来重新配置条件。

比较标签的保护设置的行为

使用下表确定标签的相同保护设置的行为方式,具体取决于 Azure 信息保护经典客户端、Azure 信息保护统一标签客户端还是内置了标签的 (Office 应用(也称为"本机 Office 标签") )。 标签行为的差异可能会改变你决定是否发布标签,尤其是在组织中混有客户时。

如果不确定保护设置的配置方式,可以在 Azure 门户的"保护"窗格中查看其设置。 如果需要此步骤的帮助,请参阅 为保护设置配置标签

表中不会列出行为相同的保护设置,但以下例外:

  • 使用带有Office标签的应用时,除非还安装 Azure 信息保护统一标签客户端,否则在文件资源管理器中看不到标签。
  • 使用带有Office标签的应用时,如果保护以前独立于标签应用,则保护将保留 [1]
标签的保护设置 Azure 信息保护经典客户端 Azure 信息保护统一标签客户端 Office带有内置标签的应用
HYOK (AD RMS) 模板: 在 Word、Excel、PowerPoint、Outlook 和文件资源管理器中可见

应用此标签时:

- 对文档和电子邮件应用 HYOK 保护
在 Word、Excel、PowerPoint、Outlook 和文件资源管理器中可见

应用此标签时:

- 未应用保护,如果以前由标签应用保护,则删除保护 [2]

- 如果保护以前独立于标签应用,则保留该保护
在 Word、Excel、PowerPoint 和 Outlook 中可见

应用此标签时:

- 未应用保护,如果以前由标签应用保护,则删除保护 [2]

- 如果保护以前独立于标签应用,则保留该保护 [1]
HYOK (AD RMS) Word、Excel、PowerPoint 和文件资源管理器的用户定义权限: 在 Word、Excel、PowerPoint 和文件资源管理器中可见

应用此标签时:

- 对文档和电子邮件应用 HYOK 保护
在 Word、Excel 和 PowerPoint 中可见

应用此标签时:

- 未应用保护,如果以前由标签应用保护,则删除保护 [2]

- 如果保护以前独立于标签应用,则保留该保护
在 Word、Excel 和 PowerPoint 中可见

应用此标签时:

- 未应用保护,如果以前由标签应用保护,则删除保护 [2]

- 如果保护以前独立于标签应用,则保留该保护
HYOK (AD RMS) 具有用户定义的权限,适用于Outlook: 显示在Outlook

应用此标签时:

- 对电子邮件应用了使用 HYOK 保护的"不转发"
显示在Outlook

应用此标签时:

- 如果保护以前由标签应用,则不应用保护并将其删除[2]

- 如果保护以前独立于标签应用,则保留该保护
显示在Outlook

应用此标签时:

- 如果保护以前由标签应用,则不应用保护并将其删除[2]

- 如果保护以前独立于标签应用,则保留该保护 [1]
脚注 1

在 Outlook 中,会保留保护,但出现一个例外:如果电子邮件使用"仅加密"选项"加密" ("加密") ,则删除该保护。

脚注 2

如果用户具有支持此操作的使用权利或角色,则删除保护:

如果用户没有这些使用权限或角色之一,则不应用标签并保留原始保护。

迁移 Azure 信息保护标签

按照以下说明迁移租户和 Azure 信息保护标签,以使用统一的标签存储。

必须是合规性管理员、符合性数据管理员、安全管理员或全局管理员才能迁移标签。

  1. 如果尚未这样做,请打开新的浏览器窗口 并登录到 Azure 门户。 然后导航到 "Azure 信息保护" 窗格。

    例如,在资源、服务和文档搜索框中:开始键入"信息",然后选择"Azure 信息保护"。

  2. 从"管理"菜单选项中,选择"统一标签"。

  3. "Azure 信息保护 - 统一标签"窗格中 ,选择" 激活 "并按照联机说明操作。

    如果激活选项不可用,请检查"统一标签状态":如果看到"已激活",则租户已在使用统一标签存储,无需迁移标签。

对于成功迁移的标签,支持统一标签 的客户端和服务 现在可以使用它们。 但是,必须先将这些标签发布到Microsoft 365 合规中心。

重要

如果在 Azure 门户外部编辑标签,对于经典 (Azure 信息保护) ,请返回到此 Azure 信息保护 - 统一标签窗格,然后选择"发布"。

复制策略

迁移标签后,可以选择一个选项来复制策略。 如果选择此选项,策略的一次副本及其策略设置和任何高级客户端设置将发送到Microsoft 365 合规中心。

然后,使用其设置和标签成功复制的策略会自动发布到在 Azure 门户中分配给策略的用户和组。 请注意,对于全局策略,这意味着所有用户。 如果尚未准备好发布复制的策略中的已迁移标签,复制策略后,可以从管理员标签中心的标签策略中删除标签。

"Azure信息保护 - 统一) "窗格中选择"复制策略" (预览版"选项之前,请注意以下事项:

  • " 复制策略 (预览 ) 选项在为租户激活统一标签之前不可用。

  • 不能选择性地选择要复制的策略和设置。 将自动 (全局策略的所有策略和) 策略,并复制作为标签策略设置支持的所有设置。 如果已有同名的标签策略,则 Azure 门户中的策略设置将覆盖该策略。

  • 某些高级客户端设置不会复制,因为对于 Azure 信息保护统一标签客户端,支持这些设置作为标签 高级 设置,而不是策略设置。 可以使用合规性中心 PowerShell 配置Microsoft 365高级设置。 未复制的高级客户端设置:

  • 与将同步对标签的后续更改的标签迁移不同 ,"复制 策略"操作不会同步对策略或策略设置的任何后续更改。 可以在 Azure 门户中进行更改后重复复制策略操作,任何现有策略及其设置都将再次覆盖。 或者,将 Set-LabelPolicy 或 Set-Label cmdlet 与 Office 365 安全合规中心 PowerShell 中的AdvancedSettings 参数一起使用。

  • 复制 策略 操作在复制每个策略之前会验证以下各项:

    • 分配到策略的用户和组当前处于Azure AD。 如果缺少一个或多个帐户,则不复制策略。 未选中组成员身份。

    • 全局策略至少包含一个标签。 由于管理员标签中心不支持不带标签的标签策略,因此不会复制不带标签的全局策略。

  • 如果复制策略,然后从管理员标签中心删除策略,请至少等待两个小时,然后再次使用"复制策略"操作,以确保有足够的时间来复制删除。

  • 从 Azure 信息保护复制的策略不会使用相同的名称,而是使用前缀AIP_。 以后无法更改策略名称。

有关为 Azure 信息保护统一标签客户端配置策略设置、高级客户端设置和标签设置的信息,请参阅管理员指南中 Azure 信息 保护统一标签客户端的自定义配置。

注意

Azure 信息保护对复制策略的支持目前为预览版。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式版发布的 Azure 功能的其他法律条款。

支持统一标签的客户端和服务

若要确认使用的客户端和服务是否支持统一标签,请参阅其文档,检查它们是否可以使用从标签中发布的敏感度Microsoft 365 合规中心。

当前支持统一标签的客户端包括:
当前支持统一标签的服务包括:
  • Power BI

  • DLP 终结点数据丢失防护 (DLP)

  • Office Online 和 Outlook 网页版

    有关详细信息,请参阅为 SharePoint和 Office 中的OneDrive启用敏感度OneDrive。

  • Microsoft SharePoint、OneDrive、家庭OneDrive、家庭Teams和Microsoft 365组

    有关详细信息,请参阅使用敏感度标签保护网站、Microsoft Teams Microsoft 365组SharePoint内容。

  • Microsoft Defender for Cloud Apps

    此服务支持在迁移到统一标签存储之前和迁移后使用以下逻辑的标签:

    • 如果Microsoft 365 合规中心敏感度标签,这些标签会从Microsoft 365 合规中心。 若要在应用云应用安全选择这些标签,必须至少向一个用户发布一个标签。

    • 如果Microsoft 365 合规中心没有敏感度标签,则从 Azure 门户检索 Azure 信息保护标签。

  • 使用 Microsoft 信息保护SDK 的软件供应商和开发人员提供的服务

下一步

客户体验团队的指导和提示

关于敏感度标签

部署 AIP 统一标签客户端

如果尚未这样做,请安装 Azure 信息保护统一标签客户端。

有关详细信息,请参阅: