用于分类、标记和保护的 AIP 部署路线图

适用于:Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

在需要对数据进行分类、标记和保护时,使用以下步骤作为建议来帮助你为组织准备、实施和管理 Azure 信息保护。

对于具有支持订阅的任何客户,建议采用此路线图。 其他功能包括发现敏感信息以及标记文档和电子邮件以进行分类。

标签还可以应用保护,为用户简化此步骤。

部署过程

执行以下步骤:

  1. 确认订阅并分配用户许可证
  2. 准备租户以使用 Azure 信息保护
  3. 配置和部署分类和标签
  4. 准备数据保护
  5. 为数据保护配置标签和设置、应用程序和服务
  6. 使用和监视数据保护解决方案
  7. 根据需要管理租户帐户的保护服务

提示

已在使用 Azure 信息保护的保护功能? 可以跳过这些步骤中的许多步骤,并专注于步骤35.1。

确认订阅并分配用户许可证

确认组织具有包含预期功能和功能的订阅。 有关详细信息,请参阅安全Microsoft 365指南页

然后,将此订阅中的许可证分配给组织中将分类、标记和保护文档和电子邮件的每个用户。

重要

请勿从个人订阅的免费 RMS 手动分配用户许可证,也不使用此许可证管理组织的 Azure Rights Management 服务。

这些许可证在 Microsoft 365 管理中心 中显示为权限管理Adhoc,RIGHTSMANAGEMENT_ADHOC运行Azure AD PowerShell cmdlet Get-MsolAccountSku时显示。

有关详细信息,请参阅适用于 个人的 RMS 和 Azure 信息保护

准备租户以使用 Azure 信息保护

在开始使用 Azure 信息保护之前,请确保在 Microsoft 365 或 Azure Active Directory AIP 可用于对用户进行身份验证和授权。

如有必要,请创建这些帐户和组,或者从本地目录同步它们。

有关详细信息,请参阅为 Azure 信息保护准备用户和组

配置和部署分类和标签

执行以下步骤:

  1. 扫描文件 (可选,但建议)

    部署 Azure 信息保护客户端然后安装并运行扫描程序,以发现本地数据存储上的敏感信息。

    扫描程序找到的信息可帮助你进行分类,提供有关需要哪些标签以及需要保护哪些文件的有价值的信息。

    扫描 程序发现 模式不需要任何标签配置或分类,因此适合在部署的早期阶段。 还可以将此扫描程序配置与以下部署步骤并行使用,直到配置建议或自动标记。

  2. 自定义默认 AIP 策略

    如果还没有分类策略,请使用默认策略作为确定数据所需的标签的基础。 根据需要自定义这些标签以满足需求。

    例如,可能需要使用以下详细信息重新配置标签:

    • 确保标签支持分类决策。
    • 配置用户手动标记的策略
    • 编写用户指南以帮助说明应在每种方案中应用哪个标签。
    • 如果默认策略是使用自动应用保护的标签创建的,可能需要在测试设置时暂时删除保护设置或禁用标签。

    统一标签客户端的敏感度标签和标签策略在Microsoft 365 合规中心。 有关详细信息,请参阅 了解敏感度标签

  3. 为用户部署客户端

    配置策略后,为用户部署 Azure 信息保护客户端。 提供用户培训以及选择标签的具体说明。

    有关详细信息,请参阅统一 标签客户端管理员指南

  4. 引入更高级的配置

    等待用户更熟悉其文档和电子邮件的标签。 准备就绪后,请引入高级配置,例如:

    • 应用默认标签
    • 如果用户选择分类级别较低的标签或删除标签,则提示用户提供理由
    • 要求所有文档和电子邮件都有标签
    • 自定义页眉、页脚或水印
    • 推荐和自动标记

    有关详细信息,请参阅 管理员指南:自定义配置

    提示

    如果为自动标签配置了标签,请在本地数据存储上以发现模式再次运行 Azure 信息保护扫描程序,并匹配策略。

    在发现模式下运行扫描仪会告知哪些标签将应用于文件,这可以帮助你微调标签配置,并为批量分类和保护文件做好准备。

准备数据保护

在用户习惯标记文档和电子邮件后,为最敏感数据引入数据保护。

执行以下步骤来准备数据保护:

  1. 确定要如何管理租户密钥

    决定是希望 Microsoft 管理默认 (租户密钥) ,还是自行生成和管理租户密钥 (称为自带密钥或 BYOK) 。

    有关其他本地保护的详细信息和选项,请参阅 规划和实现 Azure 信息保护租户密钥

  2. 安装 PowerShell for AIP。

    在至少一台具有 Internet 访问权限的计算机上安装 适用于 AIPService 的 PowerShell 模块。 可以现在或稍后执行此步骤。

    有关详细信息,请参阅安装 AIPService PowerShell 模块

  3. 仅 AD RMS:将密钥、模板和 URL 迁移到云。

    如果当前使用的是 AD RMS,请执行迁移,将密钥、模板和 URL 移到云中。

    有关详细信息,请参阅从 AD RMS 迁移到信息保护

  4. 激活保护

    确保已激活保护服务,以便可以开始保护文档和电子邮件。 如果要在多个阶段进行部署,请配置用户加入控件以限制用户应用保护的能力。

    有关详细信息,请参阅从 Azure 信息保护激活保护服务

  5. 考虑使用日志记录 (可选) 。

    考虑记录使用情况,以监视组织如何使用保护服务。 可以现在或稍后执行此步骤。

    有关详细信息,请参阅 日志记录和分析 Azure信息保护的保护使用情况。

为数据保护配置标签和设置、应用程序和服务

执行以下步骤:

  1. 更新标签以应用保护

    有关详细信息,请参阅使用敏感度标签 中的加密限制对内容的访问

    重要

    即使未为 IRM Exchange信息权限管理配置了应用权限管理保护Outlook,用户 (应用权限管理) 。

    但是,Exchange为 IRM 或Microsoft 365消息加密配置新功能之前,组织不会获得将 Azure Rights Management Protection 与 Exchange 一起使用的完整功能。 此附加配置包含在以下列表中: (2 for Exchange Online,5 用于 Exchange 本地) 。

  2. 配置Office和服务

    配置Office应用程序和服务,以使用 Microsoft SharePoint 或 Exchange Online 中的 IRM (IRM) 信息权限管理。

    有关详细信息,请参阅为 Azure Rights Management 配置应用程序

  3. 为数据恢复配置超级用户功能

    如果现有的 IT 服务需要检查 Azure 信息保护将保护的文件(例如数据泄漏防护 (DLP) 解决方案、内容加密网关 (CEG) 和反恶意软件产品)将服务帐户配置为 Azure Rights Management 的超级用户。

    有关详细信息,请参阅为 Azure 信息保护和发现服务或数据恢复 配置超级用户

  4. 批量分类和保护现有文件

    对于本地数据存储,现在在强制模式下运行 Azure 信息 保护扫描程序,以便自动标记文件。

    对于 PC 上的文件,请使用 PowerShell cmdlet 对文件进行分类和保护。 有关详细信息,请参阅将 PowerShell 与 Azure 信息保护统一标签客户端一同使用

    对于基于云的数据存储,请使用Azure 云应用安全。

    提示

    尽管批量分类和保护现有文件不是云应用安全的主要用例之一,但已记录解决方法可以帮助你对文件进行分类和保护。

  5. 在 SharePoint 服务器上部署受 IRM 保护的库的连接器,在本地部署受 IRM Exchange的电子邮件

    如果在本地SharePoint Exchange用户,并且想要使用 IRM (IRM) 的信息权限管理,请安装和配置 Rights Management 连接器。

    有关详细信息,请参阅部署 Microsoft Rights Management 连接器

使用和监视数据保护解决方案

现在,可以监视组织如何使用已配置的标签,并确认要保护敏感信息。

有关详细信息,请参阅以下页面:

根据需要管理租户帐户的保护服务

开始使用保护服务时,可能会发现 PowerShell 有助于编写脚本或自动执行管理更改。 某些高级配置可能还需要 PowerShell。

有关详细信息,请参阅使用 PowerShell 管理 Azure 信息保护的保护

经典客户端环境参考

相关:仅 AIP 经典客户端

如果使用经典客户端,请使用以下引用而不是上面链接的引用:

提示

还可以对 Azure 信息保护 部署路线图(仅针对经典客户端支持)进行保护。

下一步

部署 Azure 信息保护时,可能会发现查看常见问题、已知问题以及其他资源的信息和支持页很有帮助。