教學課程:設定 Azure 資訊保護原則設定和建立新標籤
在本教學課程中,您將了解如何:
- 設定原則設定
- 建立新的標籤
- 設定標籤以提供視覺標記、建議的分類和保護
- 查看設定和標籤的實際運作
由於此設定的結果,使用者在建立新文件或電子郵件時,會看到套用預設標籤。 不過,當系統偵測到信用卡資訊時,會提示他們套用新標籤。 套用新標籤之後,便會重新分類內容並加以保護,內容具有對應的頁尾和浮水印。
您可以在大約 15 分鐘內完成此教學課程。
若要部署 AIP 傳統用戶端,請建立支援票證以取得下載存取權。
必要條件
若要完成此教學課程,您需要:
包含 Azure 資訊保護方案 2 的訂用帳戶。
如果您沒有包含 Azure 資訊保護方案 2 的訂用帳戶,您可以為您的組織建立免費帳戶。
[Azure 資訊保護] 窗格已新增至 Azure 入口網站、保護服務已啟用,而且您有一或多個在 Azure 資訊保護全域原則中發佈的標籤。
這些步驟會涵蓋於快速入門:將 Azure 資訊保護新增至 Azure 入口網站並檢視原則。
Azure 資訊保護傳統用戶端會安裝在您的 Windows 電腦上 (至少必須為 Windows 7 Service Pack 1)。
您已從下列其中一個類別登入 Office 應用程式:
當使用者獲指派 Azure 版權管理 (也稱為適用於 Microsoft 365 的 Azure 資訊保護) 的授權時,來自 Microsoft 365 Apps 商務版或 Microsoft 365 商務進階版的 Office 應用程式 (對於列在更新通道的 Microsoft 365 Apps 支援版本表格內的版本)
Microsoft 365 Apps 企業版
Office 專業增強版 2019。
Office 專業增強版 2016。
Office 專業增強版 2013 Service Pack 1。
Office 專業增強版 2010 Service Pack 2。
提示
如需使用 Azure 資訊保護之先決條件的完整清單,請參閱 Azure 資訊保護需求。
讓我們開始這次的教學。 繼續進行編輯 Azure 資訊保護原則。
編輯 Azure 資訊保護原則
使用 Azure 入口網站,我們將先變更幾個原則設定,然後再建立新標籤。
編輯原則設定
開啟新的瀏覽器視窗並以全域系統管理員的身分登入 Azure 入口網站。然後瀏覽至 [Azure 資訊保護]。
例如,在資源、服務和文件的搜尋方塊中:輸入 [資訊],然後選取 [Azure 資訊保護]。
若您不是全域管理員,請針對替代角色使用以下連結:登入 Azure 入口網站
選取 [分類]>[原則][全域]> 以開啟 [原則: 全域] 窗格。
在 [設定要在資訊保護終端使用者上顯示及套用的設定] 區段中,於標籤後找到原則設定。
請記下目前的設定方式。 特別是 [選取預設標籤] 和 [使用者必須提供理由才能設定較低的分類標籤、移除標籤或移除保護] 設定。 例如:
稍後我們將在教學課程中使用這些原則設定,屆時您會看到它們的運作方式。
針對 [選取預設標籤],請選取其中一個標籤,例如 [一般]。
[一般] 標籤是 Azure 資訊保護可以為您建立的其中一個預設標籤。 此步驟涵蓋在快速入門中的建立和發佈標籤一節中,以將 Azure 資訊保護新增至 Azure 入口網站。
針對 [使用者必須提供理由才能設定較低的分類標籤、移除標籤或移除保護] 選項設定為 [開啟] \(若尚未開啟)。
此外,確定 [在 Office 應用程式中顯示資訊保護列] 設定為 [開啟]。
選取 [儲存] (位於此 [原則:全域] 窗格上);如果系統提示您確認動作,請選取 [確定]。 關閉此窗格。
建立新的保護標籤、視覺標記,以及提示分類的條件
我們現在要為 [機密] 建立新的子標籤。
從 [分類]>[標籤] 功能表選項:以滑鼠右鍵按一下 [機密] 標籤,然後選取 [加入子標籤]。
如果您沒有名為 [機密] 的標籤,您可以選取另一個標籤或改為建立新的標籤,仍依教學課程操作,稍加變動。
在 [子標籤] 窗格上,指定 [財務] 的標籤名稱並新增下列描述:包含僅財務資訊的機密資料,僅限員工。
此文字會說明要如何使用選取的標籤,並且會向使用者顯示為工具提示,協助他們決定要選取的標籤。
針對 [為包含此標籤的文件與電子郵件設定權限],選取 [保護],這會透過為您選取 [保護] 選項來自動開啟 [保護] 窗格:
在 [保護] 窗格中,確認已選取 [Azure (雲端金鑰)]。 這個選項使用 Azure Rights Management 服務來保護文件與電子郵件。 此外,請確定已選取 [設定權限] 選項。 然後選取 [新增權限]。
在 [新增權限] 窗格上,選取 [新增 <組織名稱> - 所有成員]。 例如,如果您的組織名稱是 VanArsdel Ltd,您看到要選取的選項如下:
此選項會自動選取貴組織中可獲授與權限的所有使用者。 但從其他選項您可以看到,您可以瀏覽和搜尋您租用戶的群組或使用者。 或者,當您選取 [輸入詳細資料] 選項時,您可以指定個別的電子郵件地址,或另一個組織的所有使用者。
針對權限,請從預設的選項選取 [檢閱者]。 您會看到此權限層級如何自動授與某些列出的權限,但並非所有的權限:
您可以使用 [自訂] 選項,選取不同的權限等級或指定個別的使用權限。 但在本教學課程中,請保留 [檢閱者] 選項。 稍後您可以試驗不同的權限,了解它們如何限制指定的使用者對受保護文件或電子郵件可以執行的作業。
按一下 [確定] 以關閉此 [新增權限] 窗格。您會看到 [保護] 窗格如何更新以反映您的設定。 例如:
如果您選取 [新增權限],此動作會再次開啟 [新增權限] 窗格,讓您可以新增更多使用者並授與他們不同的權限。 例如,只授與特定群組檢視存取權。 但在本教學課程中,所有使用者會一直使用一組權限。
檢閱並保留內容到期及離線存取的預設值,然後按一下 [確定] 以儲存並關閉此 [保護] 窗格。
返回 [子標籤] 窗格,找到 [設定視覺標記] 區段:
按一下 [為有此標籤的文件加上浮水印] 設定的 [開啟],然後在 [文字] 方塊中鍵入分類為機密。
針對 [Documents with this label have a watermark] (具有此標籤的文件有浮水印) 設定,按一下 [開啟] ,然後在 [文字] 方塊中輸入您的組織名稱。 例如 VanArsdel, Ltd。
雖然您可以變更這些視覺標記的外觀,但預設值目前仍保留這些設定。
找出 [Configure conditions for automatically applying this label] (設定自動套用此標籤的條件) 區段:
按一下 [新增條件],然後在 [條件] 窗格上選取下列項目︰
a. 選擇條件類型:保留預設值 [資訊類型]。
b. 針對 [請選擇產業]:保留預設值 [所有]。
c. 在 [選取資訊類型] 搜尋方塊中:鍵入信用卡號碼。 然後,從搜尋結果中選取 [信用卡號碼]。
d. 出現次數下限:保留預設值 [1]。
e. 只計算唯一值的出現次數:保留預設值 [關閉]。
按一下 [儲存] 以返回 [子標籤] 窗格。
在 [子標籤] 窗格上,您會看到 [信用卡號碼] 已顯示為 [條件名稱],而且 [發生次數] 為 1:
針對 [選取套用這個標籤的方式]:保留預測值 [建議],且不要變更預設原則提示。
在 [新增備註以供管理員使用] 方塊中,輸入僅供測試用途使用。
按一下此 [子標籤] 窗格上的 [儲存]。 如果系統提示您確認,請按一下 [確定]。 這會建立並儲存新標籤,但尚未加入至原則。
從 [分類]>[原則] 功能表選項:再次選取 [全域],然後選取標籤之後的 [新增或移除標籤] 連結。
從 [原則:新增或移除標籤] 窗格中,選取剛剛建立的標籤 (名為 [財務] 的子標籤),然後按一下 [確定]。
在 [原則:全域] 窗格上,您現在可以在全域原則中看到新的子標籤,該標籤已針對視覺標記和保護進行設定。 例如:
您也會看到針對預設標籤和理由來進行設定:
按一下 [儲存] (位於此 [原則:全域] 窗格。 如果系統提示您確認此動作,請按一下 [確定]。
您可以關閉 Azure 入口網站,或維持開啟,以在完成此教學課程後嘗試其他設定選項。
您已準備好嘗試變更的結果。
查看分類、標記和保護的實際運作
您所做的原則變更和建立的新標籤會套用至 Word、Excel、PowerPoint 和 Outlook。 但此教學課程中,我們將使用 Word 來查看實際運作情況。
在 Word 中開啟新文件。 因為已安裝 Azure 資訊保護用戶端,您可看到下列:
在 [常用] 索引標籤上,有 [保護] 群組,以及一個名為 [保護] 的按鈕。
按一下 [保護]>[說明與意見反應],然後在 [Microsoft Azure 資訊保護] 對話方塊中,確認您的用戶端狀態。 它應該會顯示 [連線方式] 和您的使用者名稱。 此外,您應該也會看到上次連線的最近時間和日期,以及下載資訊保護原則的時間。 確認顯示的使用者名稱對您的租用戶而言正確。
功能區下會出現一個新的列:Information Protection 列。 顯示敏感度標題,以及在 Azure 入口網站中看到的標籤。
手動變更預設標籤
在 [資訊保護] 列上,選取最後一個標籤,您會看到子標籤的顯示方式:
選取其中一個子標籤,由於您已經為此文件選取標籤,其他標籤將不再顯示於列上。 [敏感度] 值會變更以顯示標籤和子標籤名稱,並變更為對應的標籤色彩。 例如:
在 [資訊保護] 列上,按一下目前所選取標籤值旁邊的 [編輯標籤] 圖示:
這個動作會再次顯示可用的標籤。
現在選取第一個標籤 [個人]。 由於您選取的標籤比之前為此文件選取的標籤分類來得低,因此會要求您說明為何要降低分類層級:
選取 [The previous label no longer applies] (不再套用舊標籤),然後按一下 [確認] 。 [敏感度] 值會變更為 [個人],並且會再次隱藏其他標籤。
完全移除分類
在 [資訊保護] 列上,再按一次「編輯標籤」圖示。 但這次不要選擇其中一個標籤,而是按一下「刪除標籤」圖示:
這次當提示出現時,請輸入「這份文件不需要分類」並按一下 [確認]。
您會看到 [敏感度] 值顯示 [未設定],如果未設定預設標籤作為原則設定,這便是使用者最初看到新文件的樣子。
查看標記和自動保護的建議提示
在 Word 文件中,鍵入有效的信用卡號碼,例如:4242-4242-4242-4242。
使用任何檔案名稱將文件儲存在本機。
您現在會看到套用標籤的提示,而標籤是在偵測到信用卡號碼時針對保護所設定。 如果我們不同意建議,則原則設定可讓我們選取 [關閉] 予以拒絕。 提供建議但讓使用者覆寫它,有助於在使用自動分類時減少誤報。 在此教學課程中,按一下 [立即變更]。
除了現在顯示已套用我們所設定標籤的文件之外 (例如,[Confidential \ Finance]\(機密\財務)),您會立刻看到組織名稱的浮水印橫跨頁面,並套用 [分類為機密] 的頁尾。
文件也會受到您為此標籤指定的權限保護。 您可以按一下 [檔案] 索引標籤,檢視 [保護文件] 的資訊,確認文件是否受到保護。 您會看到文件受 [Confidential \ Finance]\(機密\財務) 和標籤描述保護。
由於標籤的保護設定,只有員工可以開啟文件,但某些動作會受到限制。 例如,因為他們沒有列印和複製並擷取內容的權限,所以他們無法列印文件或複製文件內容。 這類限制有利於防止資料遺失。 身為文件的擁有者,您可以列印它以及從其中複製內容。 不過,若您將文件以電子郵件方式寄送給您組織中的另一個人,他們將無法執行這些動作。
您現在可以關閉此文件。
清除資源
如果您不想要保留您在此教學課程中所做的變更,請執行下列步驟:
選取 [分類]>[原則][全域]> 以開啟 [原則: 全域] 窗格。
將原則設定還原為您記下來的原始值,然後選取 [儲存]。
從 [分類]>[標籤] 功能表選項:在 [Azure 資訊保護 - 標籤] 窗格上,選取您所建立 [財務] 標籤的操作功能表 (...)。
選取 [刪除這個標籤],如果系統要求您確認,請選取 [確定]。
重新啟動 Word 以下載這些變更。
後續步驟
如需如何編輯 Azure 資訊保護原則的詳細資訊,請參閱設定 Azure 資訊保護原則。
如需標籤活動之記錄位置的詳細資訊,請參閱Azure 資訊保護用戶端的使用情況記錄。