有关 Azure 信息保护的常见问题 (AIP)

适用于:Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

对 Azure 信息保护 (AIP) 或 Azure RMS (Azure 权限管理服务) ?

查看是否在下面或在后续的更具体的常见问题 解答页面上得到解答

Azure 信息保护与 azure 信息保护Microsoft 信息保护?

与 Azure 信息保护Microsoft 信息保护,不是可以购买的订阅或产品。 相反,它是产品和集成功能的框架,可帮助你保护组织的敏感信息。

Microsoft 信息保护产品包括

  • Azure 信息保护
  • Microsoft 365信息保护,例如 Microsoft 365 DLP
  • Windows信息保护
  • Microsoft Defender for Cloud Apps

Microsoft 信息保护包括

  • 统一标签管理
  • 内置于应用应用的最终用户Office体验
  • 能够Windows统一标签并保护数据
  • Microsoft 信息保护 SDK
  • Adobe Acrobat Reader 中的功能,用于查看标记和受保护的 PDF

有关详细信息,请参阅 信息保护功能来帮助保护敏感数据

Azure 信息保护中标签与Microsoft 365标签之间有什么区别?

最初,Microsoft 365仅包含保留标签,这样,当文档和电子邮件存储在服务中时,可将其分类,以用于审核Microsoft 365保留。

相比之下,在 Azure 门户中使用 AIP 经典客户端配置 Azure 信息保护标签后,可以针对文档和电子邮件应用一致的分类和保护策略,无论文档和电子邮件是存储在本地还是云中。

Microsoft 365除保留标签外,还支持敏感度标签。 可以在"敏感度"模板中创建和配置Microsoft 365 合规中心。

如果在 Azure 门户中配置了旧版 AIP 标签,建议将它们迁移到敏感度标签和统一标签客户端。 有关详细信息,请参阅教程:从 Azure 信息保护 (AIP) 经典客户端迁移到 统一标签客户端

有关详细信息,请参阅 宣布推出信息保护功能以帮助保护敏感数据

如何确定租户是否位于统一标签平台上?

当租户位于统一标签平台上时,它支持敏感度标签,支持统一标签 的客户端和服务 可以使用这些标签。 如果于 2019 年 6 月或更高版本获取了 Azure 信息保护订阅,则租户会自动位于统一的标签平台上,无需进一步操作。 租户也可能在此平台上,因为有人迁移了 Azure 信息保护标签。

如果租户不在统一的标签平台上,可以在 Azure 门户的 "Azure 信息保护"窗格上看到以下信息横幅:

迁移信息横幅

也可通过访问"Azure信息保护管理统一标签"检查 ,并查看"统一标签状态":

状态 说明
已激活 租户位于统一的标签平台上。
可以从应用程序创建、配置和发布Microsoft 365 合规中心。
未激活 租户不在统一的标签平台上。
有关迁移说明和指南,请参阅 如何将 Azure 信息保护标签迁移到统一的敏感度标签

Azure 信息保护经典和统一标签客户端之间有什么区别?

旧式 Azure 信息保护客户端(称为经典客户端)从 Azure 下载标签和策略设置,并可用于从 Azure 门户配置AIP策略。

一标签客户端是 最新更新的最新客户端,支持多个应用程序和服务使用的统一标签平台。 统一标签客户端从客户端下载敏感度标签Microsoft 365 合规中心。

如果你是管理员,请通过选择标签解决方案Windows了解更多信息

经典客户端弃用

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理于2021年 3 月 31 日弃用。

客户端继续正常工作,但管理员无法在门户上更新策略,并且不会为经典客户端提供其他修补程序或更改。

建议迁移到 统一标签, 并升级到统 一标签客户端。 在弃 用的最新更新 中了解更多信息。

有关详细信息,请参阅:如何将 Azure 信息保护标签迁移到统一的敏感度标签

识别已安装的客户端

如果用户想要了解是否已安装经典或统一标签客户端,可以执行下列操作之一:

  • 在应用Office,检查"敏感度"或"保护"工具栏按钮。 统一标签客户端显示"敏感度" 按钮,而经典客户端显示"保护"按钮。

  • 检查已安装的 Azure 信息保护应用程序的版本号。

    • 版本 1.x 表示拥有经典客户端。 示例 :1.54.59.0
    • 版本 2.x 表示有统一的标签客户端。 示例 :2.8.85.0

    例如,在"Windows 设置 和功能"区域中,向下滚动到"Microsoft Azure信息保护"应用程序,并检查版本号。

    检查 Azure 信息保护客户端版本

何时将标签迁移到统一标签?

建议将 Azure 信息保护标签迁移到统一的标签平台,以便将其用作敏感度标签,与其他支持统一标签的客户端 和服务一起使用

有关详细信息和说明,请参阅如何将 Azure 信息保护标签迁移到统一的敏感度标签

将标签迁移到统一标签后,我使用哪个管理门户?

在 Azure 门户中迁移标签后,请根据已安装的客户端,继续管理以下位置之一的标签:

客户端 说明
仅统一标记客户端和服务 如果只安装了统一标签客户端,请管理 Microsoft 365 合规中心 中的标签,统一标签客户端可在此处下载标签及其策略设置。

有关说明,请参阅 创建和配置敏感度标签及其策略
仅经典 客户端 如果已迁移标签,但仍安装了经典客户端,请继续使用 Azure 门户编辑标签和策略设置。 经典客户端继续从 Azure 下载标签和策略设置。
AIP经典客户端和统一标签客户端 如果已安装这两个客户端,请使用 Microsoft 365 合规中心 或 Azure 门户进行标签更改。

若要让经典客户端选取在门户中Microsoft 365 合规中心更改,请返回到 Azure 门户进行发布。 在 Azure 门户 >>,选择"发布"。

继续使用 Azure 门户进行集中报告和扫描程序

迁移到敏感度标签和统一标签平台后,是否需要重新加密我的文件?

否,从 AIP 经典客户端和 Azure 门户中管理的标签迁移后,无需在迁移到敏感度标签和统一标签平台后重新加密文件。

迁移后,从应用管理标签和标签Microsoft 365 合规中心。

有关详细信息,请参阅了解应用文档中的敏感度Microsoft 365了解统一标签迁移博客

Azure 信息保护与 Azure Rights Management 之间有什么区别?

Azure 信息 (AIP) 为组织的文档和电子邮件提供分类、标记和保护。

内容使用 Azure Rights Management 服务进行保护,该服务现在是 AIP 的一个组件。

有关详细信息,请参阅AIP 如何保护数据以及什么是Azure Rights Management?。

Azure 信息保护的标识管理角色是什么?

标识管理是 AIP 的一个重要组成部分,因为用户必须具有有效的用户名和密码才能访问受保护的内容。

若要详细了解 Azure 信息保护如何帮助保护数据,请参阅 Azure 信息保护在保护数据中的角色

Azure 信息保护需要哪些订阅以及包含哪些功能?

若要详细了解 AIP 订阅,请参阅:

是否需要是全局管理员才能配置 Azure 信息保护,或者我能否委派给其他管理员?

租户或租户Microsoft 365全局Azure AD显然可以运行 Azure 信息保护的所有管理任务。

但是,如果要向其他用户分配管理权限,请运行以下角色:

此外,在管理管理任务和角色时请注意以下事项:

问题 详细信息
支持的帐户类型 Azure 信息保护的委托管理不支持 Microsoft 帐户,即使这些帐户已分配给列出的管理角色之一。
载入控件 如果已配置载入 控件,此配置不会影响管理 Azure 信息保护的能力,RMS 连接器除外。

例如,如果已配置载入控件,以便保护内容的能力仅限于 IT 部门组,则用于安装和配置 RMS 连接器的帐户必须是该组的成员。
删除保护 管理员无法自动删除受 Azure 信息保护保护的文档或电子邮件的保护。

只有被分配为超级用户的用户才能删除保护,并且只有在启用超级用户功能时才能这样做。

任何对 Azure 信息保护具有管理权限的用户都可以启用超级用户功能,并将用户分配为超级用户,包括其自己的帐户。

这些操作记录在管理员日志中。

有关详细信息,请参阅为 Azure 信息保护和发现服务或数据恢复配置超级用户中的 安全最佳实践部分

提示:如果内容存储在 SharePoint 或 OneDrive 中,管理员可以运行Unlock-SensitivityLabelEncryptedFile cmdlet 来删除敏感度标签和加密。 有关详细信息,请参阅 Microsoft 365文档
迁移到统一标签存储 如果要将 Azure 信息保护标签迁移到统一标签存储,请务必阅读标签迁移文档中的以下部分:
支持统一标签平台 的管理角色

Azure 信息保护管理员

此Azure Active Directory管理员角色允许管理员配置 Azure 信息保护,但不允许配置其他服务。

具有此角色的管理员可以:

  • 激活和停用 Azure Rights Management 保护服务
  • 配置保护设置和标签
  • 配置 Azure 信息保护策略
  • 从 AIPService 模块运行 Azure 信息 保护客户端的所有 PowerShell cmdlet

若要将用户分配到此管理角色,请参阅在 Azure Active Directory 中将用户分配到管理员Azure Active Directory。

注意

如果租户位于统一的标签平台上,则 Azure 门户中不支持 此角色

合规性管理员或合规性数据管理员

这些Azure Active Directory管理员角色使管理员能够:

  • 配置 Azure 信息保护,包括激活和停用 Azure Rights Management Protection 服务
  • 配置保护设置和标签
  • 配置 Azure 信息保护策略
  • 从 AIPService 模块 运行 Azure 信息保护客户端的所有 PowerShellcmdlet。

若要将用户分配到此管理角色,请参阅在 Azure Active Directory 中将用户分配到管理员Azure Active Directory。

若要了解具有这些角色的用户具有哪些其他权限,请参阅以下文档中的"可用Azure Active Directory部分。

注意

这些角色不支持 跟踪和撤销用户 的文档。

安全读取者或全局读取者

这些角色仅用于 Azure 信息保护分析 ,使管理员能够:

  • 查看标签的使用方式
  • 监视用户对标记的文档和电子邮件的访问
  • 查看对分类所做的更改
  • 标识包含必须保护的敏感信息的文档

由于此功能使用 Azure Monitor,因此还必须具有支持 RBAC 角色

安全管理员

此Azure Active Directory管理员角色允许管理员在 Azure 门户和其他 Azure 服务的某些方面配置 Azure 信息保护。

具有此角色的管理员无法从 AIPService 模块运行任何 PowerShell cmdlet,也无法跟踪和 撤消 用户的文档。

若要将用户分配到此管理角色,请参阅在 Azure Active Directory 中将用户分配到管理员Azure Active Directory。

若要了解具有此角色的用户拥有的其他权限,请参阅以下文档中的"可用Azure Active Directory部分。

Azure Rights Management 全局管理员和连接器管理员

全局管理员角色使用户能够从 AIPService 模块运行所有 PowerShell cmdlet, 而无需成为其他云服务的全局管理员。

连接器管理员角色允许用户仅运行 RMS (连接器) 权限管理。

这些管理角色不会向管理主机授予权限。 连接器管理员角色也不支持 跟踪和撤销用户 的文档。

若要分配这些管理角色之一,请使用 AIPService PowerShell cmdlet Add-AipServiceRoleBasedAdministrator

Azure 信息保护是否支持本地和混合方案?

是的。 虽然 Azure 信息保护是基于云的解决方案,但它可以分类、标记和保护存储在本地和云中的文档和电子邮件。

如果有Exchange Server服务器SharePoint服务器Windows,请使用以下一种或两种方法:

  • 部署 权限管理连接器 ,以便这些本地服务器可以使用 Azure Rights Management 服务来保护电子邮件和文档
  • 将 Active Directory 域控制器与 Azure AD联合,为用户提供更无缝的身份验证体验。 例如,使用Azure AD 连接

Azure Rights Management 服务会自动生成和管理所需的 XrML 证书,因此不使用本地 PKI。

有关 Azure Rights Management 如何使用证书的信息,请参阅 Azure RMS 工作原理演练:首次使用、 内容保护、内容使用

Azure 信息保护可以分类和保护哪些类型的数据?

Azure 信息保护可以分类和保护电子邮件和文档,无论它们位于本地还是云中。 这些文档包括 Word 文档、Excel电子表格、PowerPoint演示文稿、PDF 文档、基于文本的文件和图像文件。

有关详细信息,请参阅支持 的完整列表文件类型

注意

Azure 信息保护无法对结构化数据进行分类和保护,例如数据库文件、日历项目、Yammer帖子、Sway 内容和OneNote笔记本。

提示

Power BI敏感度标签支持分类,并且可以将保护从这些标签应用到导出为以下文件格式的数据:.pdf、.xls 和 .ppt。 有关详细信息,请参阅 Power BI中的数据保护

我看到 Azure 信息保护被列为可用于条件访问的云应用 - 此操作如何工作?

是的,作为预览版产品/服务,Azure AD Azure 信息保护的条件访问。

当用户打开受 Azure 信息保护保护的文档时,管理员现可基于标准条件访问控制阻止或授予其租户中用户的访问权限。 要求使用 MFA (多重) 是最常请求的条件之一。 另一个要求是设备必须符合 Intune 策略,例如,移动设备必须满足密码要求和最低操作系统版本,并且计算机必须加入域。

有关详细信息和一些演练示例,请参阅以下博客文章:Azure 信息保护 的条件访问策略

其他信息:

主题 详细信息
评估频率 对于 Windows 计算机和当前预览版,在初始化用户环境时评估Azure 信息保护的条件访问策略 (此过程也称为启动) ,然后每隔 30 天启动一次。

若要微调条件访问策略的评估方式, 请配置令牌生存期
管理员帐户 建议不要将管理员帐户添加到条件访问策略,因为这些帐户将无法访问 Azure 门户中的"Azure 信息保护"窗格。
MFA 和 B2B 协作 如果在条件访问策略中将 MFA 用于与其他组织 (B2B) 进行协作,则必须使用 Azure AD B2B协作,并创建要与其他组织中共享的用户的来宾帐户。
使用条款提示 使用 Azure AD 2018 年 12 月预览版,现可提示用户在首次打开受保护文档之前接受使用条款。
云应用 如果对条件访问使用许多云应用,则Microsoft Azure列表中显示"信息保护"进行选择。

在这种情况下,请使用列表顶部的搜索框。 开始键入"Microsoft Azure信息保护"以筛选可用的应用。 如果订阅受支持,则会看到"Microsoft Azure保护"选项。

注意

对条件访问的 Azure 信息保护支持目前以预览版提供。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式版发布的 Azure 功能的其他法律条款。

我看到 Azure 信息保护被列为 Microsoft Graph安全的安全提供程序 - 此操作如何工作,我会收到哪些警报?

是的,作为公共预览版产品,现在可以收到 有关 Azure 信息保护异常数据访问的警报。 当有异常尝试访问受 Azure 信息保护的数据时,会触发此警报。 例如,在一天中的异常时间访问异常大量的数据,或者从未知位置访问。

此类警报可帮助检测环境中的高级数据相关攻击和内部威胁。 这些警报使用机器学习来分析访问受保护数据的用户的行为。

可以使用Microsoft Graph安全 API 访问 Azure 信息保护警报,或者可以使用 Azure Monitor将警报流式传输给 SIEM 解决方案,例如 Splunk 和 IBM Qradar。

有关 Microsoft 安全 API Graph,请参阅Microsoft Graph安全 API 概述

注意

Azure 信息保护对 Microsoft Graph安全性的支持目前为预览版。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式版发布的 Azure 功能的其他法律条款。

我了解 Azure 信息保护即将推出新版本 - 何时发布?

技术文档不包含有关即将发布的版本的信息。 对于此类信息,请使用"Microsoft 365路线图"。

Azure 信息保护是否适合我的国家/地区?

不同的国家/地区有不同的要求和法规。 若要帮助你为组织回答此问题,请参阅 适合不同的国家/地区

Azure 信息保护如何帮助实现 GDPR?

注意

如果有兴趣查看或删除个人数据,请查看 Microsoft 合规性管理器和 Microsoft 合规性网站的GDPR部分中的Microsoft Microsoft 365 企业版指南。 如果要查找有关 GDPR 的一般信息,请参阅服务信任门户 的 GDPR 部分

请参阅 Azure 信息保护的符合性和支持信息

如何报告问题或发送 Azure 信息保护的反馈?

如需技术支持,请使用标准支持渠道或 联系 Microsoft 支持部门。

我们还邀请你在我们的工程团队的 Azure 信息保护站点上Yammer团队

如果我的问题不在,该怎么办?

首先,查看下面列出的常见问题,这些问题特定于分类和标签,或者特定于数据保护。 Azure RMS (Azure rights Management) 为 Azure 信息保护提供数据保护技术。 Azure RMS 可以与分类和标签一起使用,也可以自行使用。

如果问题未得到解答,请参阅 Azure 信息保护的信息和支持中列出的 链接和资源