設定 Azure Information Protection 原則
若要設定傳統用戶端的分類、標記和保護,您必須設定 Azure 資訊保護原則。 然後,此原則會下載到已安裝 Azure Information Protection 用戶端的電腦。
原則包含標籤和設定:
標籤會將分類值套用至文件和電子郵件,而且可以選擇性地保護此內容。 針對您在 Office 應用程式中的使用者以及當使用者以滑鼠右鍵按一下檔案總管時,Azure 資訊保護用戶端就會顯示這些標籤。 使用 PowerShell 和 Azure 資訊保護掃描器也可以套用這些標籤。
這些設定會變更 Azure 資訊保護用戶端的預設行為。 例如,您可以選取預設標籤、所有文件和電子郵件是否必須具有標籤,以及 Azure 資訊保護列是否會顯示在 Office 應用程式中。
訂用帳戶支援
Azure 資訊保護支援不同層級的訂用帳戶:
Azure 資訊保護 P2:支援所有分類、標籤和保護功能。
Azure 資訊保護 P1:支援大部分的分類、標籤和保護功能,但不支援自動分類或 HYOK。
包含 Azure Rights Management服務的Microsoft 365:支援保護,但不支援分類和標籤。
需要 Azure 資訊保護 P2 訂用帳戶的選項已在入口網站中標示。
若組織有混合的訂用帳戶,您必須負責確認使用者不會使用其帳戶未獲授權的功能。 Azure 資訊保護用戶端不會執行授權檢查和強制執行原則。 當您設定並非所有使用者都有授權的選項時,請使用有範圍的原則或登錄設定,以確保組織可符合授權的規範:
當組織有 Azure 資訊保護 P1 和 Azure 資訊保護 P2 的混合授權時:針對具有 P2 授權的使用者,當您設定需要 Azure 資訊保護 P2 授權的選項時,請建立和使用一或多個有範圍的原則。 請確定您的全域原則不包含需要 Azure 資訊保護 P2 授權的選項。
當貴組織有 Azure 資訊保護的訂用帳戶,但某些使用者只有包含 Azure Rights Management服務的Microsoft 365授權:對於沒有 Azure 資訊保護授權的使用者,請編輯其電腦上的登錄,使其不會下載 Azure資訊保護原則。 如需指示,請參閱系統管理指南中有關下列自訂的主題:當組織有混合的授權時,強制執行僅限保護模式。
如需訂用帳戶的詳細資訊,請參閱我需要哪個 Azure 資訊保護訂用帳戶及包含哪些功能?
登入 Azure 入口網站
若要登入 Azure 入口網站,以設定及管理 Azure 資訊保護:
請使用以下連結:https://portal.azure.com
使用具有下列其中一個 系統管理員角色的 Azure AD 帳戶:
Azure 資訊保護系統管理員
合規性管理員
合規性資料管理員
安全性系統管理員
安全性讀取器 - 僅限Azure 資訊保護分析
全域讀取器 - 僅限Azure 資訊保護分析
全域管理員
Microsoft 帳戶無法管理 Azure 資訊保護。
第一次存取 Azure 資訊保護 窗格
登入 Azure 入口網站。
選取 [+ 建立資源],然後從 Marketplace 的搜尋方塊中,輸入 Azure 資訊保護。
從結果清單中,選取 [Azure 資訊保護]。 在[Azure 資訊保護]窗格中,按一下 [建立]。
提示
或者,可以選取 [釘選到儀表板],在儀表板上建立 [Azure 資訊保護] 磚,以便您可以在下次登入入口網站時略過瀏覽步驟。
再次按一下 [建立]。
第一次連線到服務時,會顯示自動開啟的 [快速入門] 頁面。 您可以瀏覽建議的資源,或使用其他功能表選項。 若要設定標籤以供使用者選取,請使用下列程序。
下次存取[Azure 資訊保護]窗格時,它會自動選取 [卷標] 選項,以便檢視和設定所有使用者的標籤。 您可以從 [一般] 功能表選取 [快速入門] 頁面,以返回 [快速入門] 頁面。
如何設定 Azure 資訊保護原則
請確定您已使用下列其中一個系統管理角色登入Azure 入口網站:Azure 資訊保護系統管理員、安全性系統管理員或全域管理。 如需這些系統管理角色的詳細資訊,請參閱先前的章節。
如有必要,請流覽至[Azure 資訊保護] 窗格:例如,在中樞功能表上,按一下 [所有服務],然後在 [篩選] 方塊中開始輸入資訊保護。 從結果中,選取 [Azure Information Protection]。
[Azure 資訊保護 - 標籤] 窗格會自動開啟,讓您檢視和編輯可用的標籤。 標籤可藉由從原則中新增或移除它們,供所有使用者或選取的使用者使用,或者沒有任何使用者可以使用。
若要檢視和編輯原則,從功能表選項中選取 [原則]。 若要檢視和編輯所有使用者均可取得的原則,選取 [全域] 原則。 若要針對選取的使用者建立自訂原則,選取 [新增原則]。
對原則進行變更
您可以建立任意數目的標籤。 不過,如果它們開始變得太多,讓使用者輕易就能看到和選取正確的標籤,請建立已設定領域的原則,讓使用者只看到相關的標籤。 套用保護的標籤有其上限,即 500。
當您在 [Azure 資訊保護] 窗格中進行任何變更時,請按一下 [儲存] 以儲存變更,或按一下 [捨棄] 還原至最後儲存的設定。 當您將變更儲存在原則中,或對新增至原則的標籤進行變更時,這些變更會自動發佈。 不提供個別的發佈選項。
每當支援的 Office 應用程式啟動時,Azure 資訊保護用戶端會檢查是否有任何變更,並將變更下載為其最新的 Azure 資訊保護原則。 在用戶端上重新整理原則的其他觸發程序:
按一下滑鼠右鍵以分類及保護檔案或資料夾。
執行 PowerShell Cmdlet 以設定標籤與保護 (Get-AIPFileStatus、Set-AIPFileClassification 和 Set-AIPFileLabel)。
每 24 小時。
Azure 資訊保護掃描器:服務啟動時 (如果原則超過一小時),以及作業期間每小時。
注意
用戶端下載原則時,請預備等候幾分鐘才能完整運作。 實際的時間會依各項因素而異,例如原則設定的大小和複雜度及網路連線。 如果標籤產生的動作與您最近的變更不符,請稍待最多 15 分鐘後再試一次。
設定組織的原則
使用下列資訊來協助您設定 Azure 資訊保護原則:
電子郵件與文件中儲存的標籤資訊
當標籤套用到文件或電子郵件時,在背景中,標籤是儲存在中繼資料中,以便應用程式與服務可以讀取標籤:
在電子郵件中,此資訊會儲存在 x 標頭中: msip_labels:MSIP_Label_ < GUID > _Enabled=True
對於 Word 檔 (.doc 和.docx) ,Excel試算表 (.xls 和.xlsx) 、PowerPoint簡報 (.ppt .pptx) 和 PDF 檔,此中繼資料會儲存在下列自訂屬性中:MSIP_Label_ < GUID > _Enabled=True
對於電子郵件,標籤資訊會在傳送電子郵件時儲存。 對於檔,標籤資訊會在儲存檔案時儲存。
若要識別標籤的 GUID,請在檢視或設定 Azure 資訊保護原則時,在 Azure 入口網站 [標籤] 窗格的 [標籤] 窗格中找到 [卷標識別碼] 值。 對於已套用標籤的檔案,您也可以執行 Get-AIPFileStatus PowerShell Cmdlet 來識別 GUID (MainLabelId 或 SubLabelId)。 當標籤有子標籤時,請一律只指定子標籤的 GUID,而不要指定父標籤的 GUID。
後續步驟
如需如何自訂 Azure 資訊保護原則的範例,以及查看使用者的最終行為,請嘗試下列教學課程: