教學課程:設定搭配運作的 Azure 資訊保護原則設定
在本教學課程中,您將了解如何:
- 設定搭配運作的原則設定
- 看您的設定實際運作
您可以使用 Azure 資訊保護原則設定執行下列動作,這樣就不需依賴使用者手動標記文件與電子郵件:
確保有適用於新內容和已編輯的分類基礎層級
讓使用者了解標籤,並且讓他們輕鬆就能套用正確的標籤
您可以在大約 15 分鐘內完成此教學課程。
若要部署 AIP 傳統用戶端,請建立支援票證以取得下載存取權。
必要條件
若要完成本教學課程,您需要:
包含 Azure 資訊保護的訂用帳戶。
[Azure 資訊保護] 窗格已新增至 Azure 入口網站,而且您有一或多個在 Azure 資訊保護全域原則中發佈的標籤。
這些步驟會涵蓋於快速入門:將 Azure 資訊保護新增至 Azure 入口網站並檢視原則。
Azure 資訊保護傳統用戶端會安裝在您的 Windows 電腦上 (至少必須為 Windows 7 Service Pack 1)。
您已從下列其中一個類別登入 Office 應用程式:
當使用者獲指派 Azure 版權管理 (也稱為適用於 Microsoft 365 的 Azure 資訊保護) 的授權時,來自 Microsoft 365 Apps 商務版或 Microsoft 365 商務進階版的 Office 應用程式 (對於列在更新通道的 Microsoft 365 Apps 支援版本表格內的版本)
Microsoft 365 Apps 企業版。
Office 專業增強版 2019。
Office 專業增強版 2016。
Office 專業增強版 2013 Service Pack 1。
Office 專業增強版 2010 Service Pack 2。
如需使用 Azure 資訊保護之先決條件的完整清單,請參閱 Azure 資訊保護需求。
讓我們開始這次的教學。 繼續進行編輯 Azure 資訊保護原則。
編輯 Azure 資訊保護原則
您可以使用一些原則設定來確保分類的基礎層級,這樣就不需依賴使用者手動標記文件和電子郵件。
藉由使用 Azure 入口網站,我們將編輯全域原則,以變更所有使用者的原則設定。
開啟新的瀏覽器視窗並以全域系統管理員的身分登入 Azure 入口網站。然後瀏覽至 [Azure 資訊保護] 。
例如,在資源、服務和文件的搜尋方塊中:輸入 [資訊],然後選取 [Azure 資訊保護]。
若您不是全域管理員,請針對替代角色使用以下連結:登入 Azure 入口網站
選取 [分類]>[原則][全域]> 以開啟 [原則: 全域] 窗格。
在 [設定要在資訊保護終端使用者上顯示及套用的設定] 區段中,於標籤後找到原則設定。 您的設定值可能會和下列顯示的不同:
將您的設定變更為符合下列表格中的值。 記下您變更的設定,以防您完成此教學課程之後想要變更為回原本的設定。
設定 值 資訊 選取預設標籤 一般 [一般] 標籤是 Azure 資訊保護可以為您建立的其中一個預設標籤。 此步驟涵蓋於建立和發佈標籤快速入門中。 如果您沒有名為 [一般] 的標籤,請從下拉式清單中選取另一個標籤。 未標記的文件和電子郵件會自動套用此標籤,以作為基礎分類。 不過,使用者可以將您所選的標籤變更為其他標籤。 所有文件與電子郵件都必須有標籤 開啟 此設定通常稱為強制標記,因為它可防止使用者儲存或傳送未標記的文件或電子郵件。 配合預設標籤,文件和電子郵件將會有您設定的預設標籤,或使用者選擇的標籤。 對於有附件的電子郵件訊息,請套用符合這些附件最高分類的標籤 建議需求 當使用者附加的文件具有比您選取的預設標籤更高的分類時,此設定會提示他們為其電子郵件選取較高的分類標籤。 在 Office 應用程式中顯示資訊保護列 開啟 顯示資訊保護列可讓使用者更容易查看和變更預設標籤。 設定現在看起來應該如下:
選取 [儲存] (位於此 [原則:全域] 窗格上);如果系統提示您確認動作,請選取 [確定] 。
看您的原則設定實際運作
針對此教學課程,我們將使用 Word 和 Outlook 來看您的原則變更實際運作。 如果在您變更原則設定之前,這些應用程式已經載入,請將它們重新啟動以下載變更。
預設標籤和資訊保護列
在 Word 中開啟新文件。 您會看到文件自動標記為 [一般] ,而不是依賴使用者選取標籤。
藉由顯示資訊保護列和可用的標籤,使用者很容易就能看到目前選取的標籤,且如果預設標籤不適當,他們可以變更標籤:
請關閉資訊保護列,但不變更標籤,以比較未顯示資訊保護列的體驗:
[一般] 標籤仍然是已選取,但較不明顯。 選取其他標籤的方式也較不明顯。 若要這麼做,使用者必須選取 [保護] 按鈕:
現在於下拉式功能表中,您會看到 [一般] 標籤為已選取,因為它旁邊有核取記號。 若要變更目前選取的標籤,使用者可以從清單中選取其他標籤。 當使用者還不熟悉標記時,他們可能會忘記每次都要選取 [保護] 按鈕。 他們可能也不會注意到可以選取其他標籤。
若要再次顯示資訊保護列,請從下拉式功能表中選取 [顯示列] 。
提示
您也可以設定進階用戶端設定,來為 Outlook 選取其他預設標籤。
強制標記
您可以將目前選取的 [一般] 標籤變更為其他標籤,但您無法將它移除。 因為我們將 [所有文件與電子郵件都必須有標籤] 設定變更為 [開啟] ,所以在資訊保護列上沒有刪除標籤圖示。
如果我們沒有變更該設定,資訊保護列會顯示此圖示:
強制標記和預設標籤搭配時,可確保新的和已編輯的文件 (和電子郵件),都有您選擇的基礎分類。
如果未使用強制標記設定來設定預設標籤,當使用者儲存未標記的文件或傳送未標記的電子郵件時,系統一律會提示他們選取標籤。 對於許多使用者,這些持續提示可能令人感到受挫,而且也可能造成較不精確的標記。 當他們完成處理文件或電子郵件時,出現要選取標籤的提示會中斷他們的工作流程,他們會傾向於隨意選取標籤,好繼續他們的工作。
含附件之電子郵件的建議
對於開啟 Word 文件,選擇比 [一般] 更高分類的標籤。 例如,[機密] 底下的其中一個子標籤,像是 [機密 - 任何人 (未受保護)] 。 將文件儲存在本機,並給它任何名稱。
啟動 Outlook 並建立新的電子郵件訊息。 如我們在 Word 中所看到,新的電子郵件訊息自動標記為 [一般] ,且資訊保護列也已顯示。
將您剛才標記的 Word 文件新增為電子郵件訊息的附件。 您會看到將電子郵件標籤變更為符合該 Word 附件之 [機密] 的提示。 您可以接受建議,或將它關閉:
如果您按一下 [關閉] ,就不會套用新的標籤,但您會看到電子郵件仍然標記為我們設定的預設標籤 ([一般] )。 可用的標籤仍然會顯示為可選取的替代項目。
如果您選取 [立即變更],則會將電子郵件重新標記為 [機密] 子標籤。 不過,使用者在傳送電子郵件之前,仍然可以選取編輯標籤圖示來變更標籤:
資訊保護列會再次顯示,供使用者選取替代的標籤。
因為在傳送電子郵件之前已經選取標籤,所以不需要實際傳送電子郵件來查看此原則設定的運作方式。 您可以關閉電子郵件,而不傳送或儲存它。
不過,您可能會想要重複此練習,但附加較高分類 ([高度機密] 標籤的子標籤) 的其他文件。 然後,您會看到提示變更為要套用較高的分類標籤。 若您使用具有相同父標籤的子標籤測試多個附件,您必須在 Azure 入口網站中設定進階用戶端設定以支援其順序。
清除資源
如果您不想要保留您在此教學課程中所做的變更,請執行下列步驟:
選取 [分類]>[原則][全域]> 以開啟 [原則: 全域] 窗格。
將原則設定還原為您記下來的原始值,然後選取 [儲存] 。
重新啟動 Word 和 Outlook 應用程式以下載這些變更。
後續步驟
如需有關如何編輯 Azure 資訊保護原則設定的詳細資訊,請參閱如何設定 Azure 資訊保護的原則設定。
我們變更的原則設定有助於確保基礎層級的分類,且能鼓勵使用者選取適當的標籤。 下一步是藉由檢查文件和電子郵件的內容,然後建議或自動套用適當的標籤,以增強此策略。 您會藉由針對條件設定標籤來這麼做。 若要深入了解,請參閱如何設定適用於 Azure 資訊保護的自動分類與建議分類條件。