分類、標記和保護的 AIP 部署藍圖

  • 發行項

注意

您是否正在尋找 Microsoft Purview 資訊保護,先前稱為 Microsoft 資訊保護 (MIP)?

Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

新的 Microsoft 資訊保護 用戶端(不含載入宏)目前處於預覽狀態,並排程正式運作

當您想要分類、標記及保護數據時,請使用下列步驟作為建議,協助您為組織準備、實作及管理 Azure 資訊保護。

對於具有支持訂用帳戶的任何客戶,建議使用此藍圖。 其他功能包括探索敏感性資訊和標記檔和電子郵件以進行分類。

標籤也可以套用保護,為您的用戶簡化此步驟。

提示

或者,您可能正在尋找下列其中一篇文章:

部署程序

執行下列步驟:

  1. 確認您的訂用帳戶並指派用戶授權
  2. 準備您的租使用者以使用 Azure 資訊保護
  3. 設定和部署分類和標籤
  4. 準備數據保護
  5. 設定資料保護的標籤和設定、應用程式和服務
  6. 使用及監視數據保護解決方案
  7. 視需要 管理員 註冊租用戶帳戶的保護服務

提示

已經在使用 Azure 資訊保護 的保護功能嗎? 您可以略過其中許多步驟,並將焦點放在步驟 35.1

確認您的訂用帳戶並指派用戶授權

確認您的組織有一個訂用帳戶,其中包含您預期的功能和功能。 如需詳細資訊,請參閱 安全性與合規性 的 Microsoft 365 授權指引頁面。

然後,將此訂用帳戶中的授權指派給組織中將分類、標記和保護檔和電子郵件的每一位使用者。

重要

請勿從個人訂用帳戶的免費 RMS 手動指派用戶授權,也不會使用此授權來管理貴組織的 Azure Rights Management 服務。

當您執行 Azure AD PowerShell Cmdlet Get-MsolAccountSku 時 RIGHTSMANAGEMENT_ADHOC這些授權會顯示為 Microsoft 365 系統管理中心 中的 Rights Management Adhoc

如需詳細資訊,請參閱個人版 RMS 和 Azure 資訊保護

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請參閱淘汰更新。 在此日期之後,這些模組的支援僅限於 Microsoft Graph PowerShell SDK 和安全性修正的移轉協助。 已淘汰的模組將繼續在 2025 年 3 月 30 日運作。

建議移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前稱為 Azure AD) 互動。 如需常見的移轉問題,請參閱移轉常見問題注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

準備您的租使用者以使用 Azure 資訊保護

開始使用 Azure 資訊保護 之前,請確定您在 Microsoft 365 或 Microsoft Entra 識別符中擁有 AIP 可用來驗證和授權使用者的使用者帳戶和群組。

如有必要,請建立這些帳戶和群組,或從您的內部部署目錄進行同步處理。

如需詳細資訊,請參閱準備 Azure 資訊保護 的使用者和群組。

設定和部署分類和標籤

執行下列步驟:

  1. 掃描您的檔案(選擇性但建議使用)

    部署 Azure 資訊保護 客戶端,然後安裝執行掃描器,以探索您在本機數據存放區上擁有的敏感性資訊。

    掃描器找到的信息可協助您進行分類分類、提供有關您需要哪些標籤的重要資訊,以及哪些檔案需要保護。

    掃描器 探索 模式不需要任何標籤設定或分類法,因此適合在部署的這個早期階段。 您也可以搭配下列部署步驟平行使用此掃描器設定,直到您設定建議或自動套用標籤為止。

  2. 自定義預設的 AIP 原則

    如果您還沒有分類策略,請使用預設原則作為判斷數據所需標籤的基礎。 視需要自定義這些標籤,以符合您的需求。

    例如,您可能想要使用下列詳細數據重新設定標籤:

    • 請確定您的標籤支援您的分類決策。
    • 設定使用者手動套用標籤的原則
    • 撰寫使用者指引,以協助說明應該在每個案例中套用哪些標籤。
    • 如果您的默認原則是使用自動套用保護的標籤所建立,您可能會想要暫時移除保護設定,或在測試設定時停用標籤。

    統一卷標用戶端的敏感度標籤和標籤原則會在 Microsoft Purview 合規性入口網站 中設定。 如需詳細資訊,請參閱 瞭解敏感度標籤

  3. 為您的使用者部署用戶端

    設定原則之後,請為使用者部署 Azure 資訊保護 用戶端。 在選取標籤時提供用戶訓練和特定指示。

    如需詳細資訊,請參閱 統一卷標客戶端系統管理員指南

  4. 引進更進階的組態

    等候您的使用者更熟悉其文件和電子郵件上的標籤。 當您準備好時,引進進階組態,例如:

    • 套用預設標籤
    • 如果用戶選擇較低分類層級的標籤或移除標籤,提示使用者提供理由
    • 要求所有文件和電子郵件都有標籤
    • 自訂頁首、頁尾或浮浮水印
    • 建議和自動套用標籤

    如需詳細資訊,請參閱 管理員 指南:自定義組態

    提示

    如果您已設定自動套用標籤的標籤,請在探索模式的本機數據存放區上再次執行 Azure 資訊保護 掃描器,並符合您的原則。

    在探索模式中執行掃描儀會告訴您哪些標籤會套用至檔案,這可協助您微調標籤設定,並準備大量分類和保護檔案。

準備數據保護

一旦使用者熟悉標籤文件和電子郵件,就會為您最敏感的數據提供數據保護。

執行下列步驟來準備數據保護:

  1. 決定您想要如何管理租使用者金鑰

    決定是否要 Microsoft 管理您的租使用者金鑰(預設值),或自行產生和管理您的租使用者密鑰(稱為自備金鑰或 BYOK)。

    如需其他內部部署保護的詳細資訊和選項,請參閱規劃和實作 Azure 資訊保護 租使用者密鑰

  2. 安裝適用於 AIP 的 PowerShell。

    在至少一部可存取因特網的計算機上安裝AIPServicePowerShell模組。 您可以立即或更新版本執行此步驟。

    如需詳細資訊,請參閱 安裝 AIPService PowerShell 模組

  3. 僅限 AD RMS:將您的金鑰、範本和 URL 移轉至雲端。

    如果您目前使用 AD RMS,請執行移轉,將金鑰、範本和 URL 移至雲端。

    如需詳細資訊,請參閱從 AD RMS 移轉至 資訊保護

  4. 啟用保護

    請確定已啟動保護服務,以便開始保護檔和電子郵件。 如果您要在多個階段進行部署,請設定用戶上線控制項來限制使用者套用保護的能力。

    如需詳細資訊,請參閱從 Azure 資訊保護 啟用保護服務。

  5. 請考慮使用方式記錄 (選擇性)

    請考慮記錄使用方式來監視貴組織如何使用保護服務。 您可以立即或更新版本執行此步驟。

    如需詳細資訊,請參閱記錄和分析 Azure 資訊保護 的保護使用量。

設定資料保護的標籤和設定、應用程式和服務

執行下列步驟:

  1. 更新標籤以套用保護

    如需詳細資訊,請參閱 使用敏感度標籤中的加密來限制對內容的存取。

    重要

    即使未針對資訊版權管理設定 Exchange,使用者仍可在 Outlook 中套用卷標,以套用 Rights Management 保護。

    不過,在 Exchange 針對 IRM 或 Microsoft 365 訊息加密設定新功能之前,您的組織將不會取得搭配 Exchange 使用 Azure Rights Management 保護的完整功能。 此額外設定包含在下列清單中(2 適用於 Exchange Online,5 個用於 Exchange 內部部署)。

  2. 設定 Office 應用程式 lications 和服務

    為 Microsoft SharePoint 或 Exchange Online 中的資訊版權管理 (IRM) 功能設定 Office 應用程式 lications 和服務。

    如需詳細資訊,請參閱 設定 Azure Rights Management 的應用程式。

  3. 設定數據復原的進階使用者功能

    如果您有現有的 IT 服務需要檢查 Azure 資訊保護 將保護的檔案,例如數據外洩防護(DLP)解決方案、內容加密閘道(CEG)和反惡意代碼產品,請將服務帳戶設定為 Azure Rights Management 的進階使用者。

    如需詳細資訊,請參閱設定 Azure 資訊保護 和探索服務或數據復原的進階使用者。

  4. 大量分類及保護現有的檔案

    針對內部部署數據存放區,現在以強制模式執行 Azure 資訊保護 掃描器,讓檔案自動加上標籤。

    針對計算機上的檔案,請使用PowerShell Cmdlet來分類及保護檔案。 如需詳細資訊,請參閱搭配 Azure 資訊保護 統一卷標用戶端使用 PowerShell。

    針對雲端式數據存放區,請使用 適用於雲端的 Microsoft Defender Apps

    提示

    雖然將現有檔案大量分類和保護不是 適用於雲端的 Defender Apps 的主要使用案例之一,但記載的因應措施可協助您分類和保護檔案。

  5. 在 SharePoint Server 上部署受 IRM 保護的連結庫連接器,以及 Exchange 內部部署受 IRM 保護的電子郵件

    如果您有 SharePoint 和 Exchange 內部部署,且想要使用其信息版權管理 (IRM) 功能,請安裝及設定 Rights Management 連接器。

    如需詳細資訊,請參閱 部署 Microsoft Rights Management 連接器

使用及監視數據保護解決方案

您現在已準備好監視組織如何使用您已設定的標籤,並確認您正在保護敏感性資訊。

如需詳細資訊,請參閱下列頁面:

視需要 管理員 註冊租用戶帳戶的保護服務

當您開始使用保護服務時,您可能會發現PowerShell有助於編寫腳本或自動化系統管理變更。 某些進階組態可能需要PowerShell。

如需詳細資訊,請參閱使用 PowerShell 管理員 從 Azure 資訊保護 註冊保護。

下一步

當您部署 Azure 資訊保護 時,可能會發現檢查常見問題、已知問題,以及其他資源的資訊和支援頁面會很有説明。