配置和管理用于 Azure 信息保护的模板

  • 项目

保护模板(也称为 Rights Management 模板)是 Azure 信息保护的一组管理员定义的保护设置。 这些设置包括为授权用户选择的使用权限,以及对到期和离线访问的访问控制。 这些模板已与 Azure 信息保护策略集成:

订阅包含分类、设置标签和保护(Azure 信息保护 P1 或 P2)时:

  • 未与租户的标签集成的模板显示在“Azure 信息保护 - 标签”窗格中标签后的“保护模板”部分中 。 若要导航到此窗格,请选择“分类”“标签”菜单选项。 可以将这些模板转换为标签,也可以在为标签配置保护时链接到它们。

仅包含保护的订阅(包含 Azure Rights Management 服务的 Microsoft 365 订阅):

  • 租户的模板显示在“Azure 信息保护 - 标签”窗格上的“保护模板”部分。 若要导航到此窗格,请选择“分类”“标签”菜单选项。 不会显示任何标签。 还可看到特定于分类和标签的配置设置,但这些设置要么对模板没有任何影响,要么无法进行配置。

例如,如果用户报告他们可以打开受保护的内容,但他们没有所需的权限,则问题可能是用户不在为Rights Management模板配置的正确组中。 或者,问题可能是模板需要为用户或组重新配置,如本文所述。

注意

在某些应用程序和服务中,你可能会看到不转发仅加密(加密)显示为模板。 这些不是可以编辑或删除的模板,而是默认情况下随 Exchange 服务提供的选项。

默认模板

当你获得 Azure 信息保护订阅或获得包含 Azure Rights Management 服务的 Microsoft 365 订阅时,会为你的租户自动创建两个默认模板。 这些模板限制对你组织中授权用户的访问。 创建这些模板时,它们拥有为 Azure 信息保护配置使用权限文档中列出的权限。

此外,模板配置为允许为期七天的脱机访问,没有到期日期。

注意

可以更改这些设置以及默认模板的名称和说明。 Azure 经典门户曾无法使用此功能,且PowerShell 仍不支持该功能。

通过这些默认模板,你和其他人可立即轻松开始保护组织的敏感数据。 这些模板可与 Azure 信息保护标签一起使用,或通过可使用 Rights Management 模板的应用程序和服务独立使用。

你还可以创建自已的自定义模板。 尽管可能只需要几个模板,但在 Azure 中可最多保存 500 个自定义模板。

默认模板中包括的权限

下表列出了创建默认模板时包含的使用权限。 使用权限按各自的公用名列出。

这些默认模板是在购买订阅后创建的,可以在 Azure 门户中使用 PowerShell更改名称和使用权限。

模板的显示名称 2017 年 10 月 6 日到当前日期的使用权限 2017 年 10 月 6 日之前的使用权限
组织名称 - 机密,仅供查阅



高度机密\所有员工		 查看、打开、读取;复制;查看权限;允许宏;打印;转发;答复;全部 答复;保存;编辑内容、编辑 查看、打开、读取
组织名称 - 机密



机密\所有员工		 查看、打开、读取;另存为、导出;复制;查看权限;更改权限;允许宏;打印;转发;答复;全部 答复;保存;编辑内容、编辑;完全控制 查看、打开、读取;另存为、导出;编辑内容、编辑;查看权限;允许宏;转发;答复;全部答复

默认模板名称

如果是最近获得的订阅,则使用以下名称创建默认模板:

  • 机密\所有员工

  • 高度机密\所有员工

如果是不久前获得的订阅,可以使用以下名称创建默认模板:

  • 组织名称> - 机密

  • 组织名称> - 机密,仅供查阅

可以在使用 Azure 门户时重命名(和重新配置)这些默认模板。

注意

如果没有在“Azure 信息保护 - 标签”窗格中看到默认模板,则这些模板已转换为标签或链接到标签。 它们仍作为模板存在,但在 Azure 门户中,你会看到它们属于包含云密钥保护设置的标签配置。 可以始终通过从 AIPService PowerShell 模块运行 Get-AipServiceTemplate 来确认租户具有哪些模板。

可以手动转换模板(如后面部分将模板转换为标签中所述),然后对其重命名(如果需要)。 或者,如果最近创建了默认 Azure 信息保护策略,并且同时激活了租户的 Azure Rights Management 服务,则将自动转换这些模板。

存档的模板在“Azure 信息保护 - 标签”窗格中显示为不可用。 无法为标签选择这些模板,但可以将其转换为标签。

Azure 门户中的模板的注意事项

在编辑这些模板或将其转换为标签之前,请确保了解以下更改和注意事项。 由于实现更改,因此如果你之前在 Azure 经典门户中管理模板,则以下列表尤其重要。

  • 编辑或转换模板并保存 Azure 信息保护策略后,将对初始使用权限进行以下更改。 如果需要,可以使用 Azure 门户添加或删除各个使用权限。 或者,将 PowerShell 与 New-AipServiceRightsDefinitionSet-AipServiceTemplateProperty 结合使用。

    • 自动添加了“允许宏”(公用名)。 Office 应用中的 Azure 信息保护栏需要此使用权限。

  • “发布”和“已存档”设置在“标签”窗格上分别显示为“已启用: 打开” 和“已启用: 关闭” 。 对于想要保留但对用户或服务不可见的模板,将其设置为“已启用”:“关闭”

  • 无法在 Azure 门户中复制或删除模板。 将模板转换为标签时,可以通过选择“为包含此标签的文档和电子邮件设置权限”选项的“未配置”配置该标签以停止使用该模板。 或者,可以删除标签。 但是,在这两种方案中,模板均不会被删除且模板仍保持已存档状态。

    若使用 PowerShell Remove-AipServiceTemplate cmdlet 删除模板,则模板会被永久删除。 还可以为未转换为标签的模板使用此 PowerShell cmdlet。 但是,为了确保能够按预期打开和使用以前受到保护的内容,通常建议不要删除模板。 最佳做法是仅当确定模板未用于保护生产中的文档或电子邮件时,才可删除模板。 在使用 PowerShell 永久删除模板之前,请考虑使用 Export-AipServiceTemplate cmdlet 将模板导出以作为备份。

  • 目前,如果编辑并保存部门模板,则会删除作用域配置。 Azure 信息保护策略中的作用域内模板相当于作用域内策略。 如果将模板转换为标签,则可以选择现有作用域。

    此外,无法通过 Azure 门户为部门模板设置应用程序兼容性设置。 如有必要,可以使用 Set-AipServiceTemplateProperty cmdlet 和 EnableInLegacyApps 参数来设置应用程序兼容性设置。

  • 将模板转换为标签或将模板链接到标签后,其他标签不能再使用该模板。 此外,此模板不再显示在“保护模板”部分中

  • 不从“保护模板”部分创建新模板。 而是创建一个具有“保护”设置的标签,并从“保护”窗格配置使用权限和设置。 有关完整说明,请参阅创建新模板

在 Azure 信息保护策略中配置模板

  1. 如果尚未这样做,请打开新的浏览器窗口,登录到 Azure 门户, 然后导航到“Azure 信息保护 - 标签”窗格。

    例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。

  2. 从“分类”“标签”菜单选项:在“Azure 信息保护 - 标签”窗格上展开“保护模板”,然后找到要配置的模板。

  3. 选择模板,在“标签”窗格,通过编辑“标签显示名称”和“说明”,可以根据需要更改模板名称和说明。 然后,选择值为“Azure (云密钥)”的“保护”,打开“保护”窗格 。

  4. 在“保护”窗格上,可以更改权限、内容有效期限和脱机访问设置。 有关配置保护设置的详细信息,请参阅如何配置标签以进行 Rights Management 保护

    单击“确定”保留所做更改,然后在“标签”窗格上单击“保存”。

注意

如果已将某个标签配置为使用预定义模板,则也可以使用“保护”窗格上的“编辑模板”按钮来编辑模板 。 假如没有其他标签也同样使用选定的这一个模板,此按钮将模板转换为标签,并转到步骤 5。 若要深入了解将模板转换为标签时会发生什么情况,请参阅下一部分。

将模板转换为标签

如果订阅包含分类、设置标签和保护,可将模板转换为标签。 转换模板时,将保留原始模板,但在 Azure 门户中,它现在会显示为新标签的一部分。

例如,如果你要转换一个名为“市场营销”的标签(该标签向市场营销组授予使用权限),那么在 Azure 门户中,它将显示为具有相同保护设置的名为“市场营销”的标签。 可以在模板中更改新创建标签的保护设置,使用此模板的任何用户或服务在下一次模板刷新时都会获取新保护设置。

不要求将所有模板都转换为标签,但当你执行此操作时,保护设置会与标签的完整功能完全集成,这样你就不必单独维护设置。

若要将模板转换为标签,右键单击相应模板,然后选择“转换为标签”。 或者使用上下文菜单选择此选项。

使用“编辑模板”按钮还可在配置保护标签和预定义模板时将模板转换为标签。

将模板转换为标签时:

  • 模板的名称转换为新的标签名称,并且模板说明转换为标签工具提示。

  • 如果模板的状态已发布,此设置会映射到标签的“已启用: 打开”,当你下次发布 Azure 信息保护策略时,该设置向用户显示为此标签。 如果模板的状态已存档,则此设置映射到标签的“已启用: 关闭”,不会显示为用户可用的标签。

  • 会保留保护设置,你可以根据需要进行编辑,还可以添加其他标签设置,如视觉对象标记和条件。

  • 为标签配置保护时,原始模板不再显示在“保护模板”中,且不能选择为预定义模板。 若要在 Azure 门户中编辑此模板,现在编辑在转换模板时创建的标签。 该模板仍可用于 Azure 权限管理服务,仍然可以使用 PowerShell 命令进行管理。

创建新模板

可使用门户或 PowerShell 创建模板。

使用 PowerShell 创建模板

若要使用 PowerShell 创建具有指定名称、说明、策略和所需状态设置的新保护模板,请使用 Add-AipServiceTemplate cmdlet。

使用门户创建模板

若使用门户创建一个具有 Azure(云密钥)保护设置的新标签,此操作会创建一个新的自定义模板,与 Rights Management 模板集成的服务和应用程序都可以访问该模板。

  1. 从“分类”“标签”菜单选项:在“Azure 信息保护 - 标签”窗格上,选择“添加新标签”。

  2. 在“标签”窗格中,保持默认值“已启用: 打开”,然后输入标签名称和说明用作模板名称和说明。

  3. 对于“设置包含此标签的文档和电子邮件的权限”,选择“保护”,然后选择“保护”

    Configure protection for an Azure Information Protection label

  4. 在“保护”窗格上,可以更改权限、内容有效期限和脱机访问设置。 有关配置这些保护设置的详细信息,请参阅如何配置标签以进行 Rights Management 保护

    单击“确定”保留所做更改,然后在“标签”窗格上单击“保存”。

    在“Azure 信息保护 - 标签”窗格上,现在会看到在“保护”列中显示的新标签,指明它包含保护设置。 这些保护设置显示为支持 Azure Rights Management 服务的应用程序和服务的模板。

    虽然标签已启用,但默认情况下,模板已存档。 因此,应用程序和服务可以使用该模板来保护文档和电子邮件,完成发布模板的最后一步。

  5. 从“分类”“策略”菜单选项中,选择要包含新保护设置的策略。 然后选择“添加或删除标签”。 在“策略: 添加或删除标签”窗格上,选择新创建的标签,其中包含你的保护设置,选择“确定”,然后选择“保存” 。

后续步骤

对运行 Azure 信息保护客户端的计算机而言,要获取这些更改的设置,可能最多耗时 15 分钟。 若要了解计算机和服务如何下载和刷新模板,请参阅为用户和服务刷新模板

请确保向用户提供有关模板名称和说明是否不足以选择正确的模板的说明。

可在 Azure 门户中配置的用于创建和管理模板的所有设置均可通过使用 PowerShell 实现。 此外,PowerShell 还提供了门户中未提供的更多选项。 有关详细信息,请参阅保护模板的 PowerShell 参考

有关配置 Azure 信息保护策略的详细信息,请使用配置组织的策略部分中的链接。