設定 Azure Information Protection 原則

若要設定傳統用戶端的分類、標記和保護，您必須設定 Azure 資訊保護原則。 然後，此原則會下載到已安裝 Azure Information Protection 用戶端的電腦。

原則包含標籤和設定：

• 標籤會將分類值套用至文件和電子郵件，而且可以選擇性地保護此內容。 針對您在 Office 應用程式中的使用者以及當使用者以滑鼠右鍵按一下檔案總管時，Azure 資訊保護用戶端就會顯示這些標籤。 使用 PowerShell 和 Azure 資訊保護掃描器也可以套用這些標籤。

• 這些設定會變更 Azure 資訊保護用戶端的預設行為。 例如，您可以選取預設標籤、所有文件和電子郵件是否必須具有標籤，以及 Azure 資訊保護列是否會顯示在 Office 應用程式中。

訂用帳戶支援

Azure 資訊保護支援不同層級的訂用帳戶：

• Azure 資訊保護 P2：支援所有分類、標籤和保護功能。

• Azure 資訊保護 P1：支援大部分的分類、標籤和保護功能，但不支援自動分類或 HYOK。

• 包含 Azure Rights Management服務的Microsoft 365：支援保護，但不支援分類和標籤。

需要 Azure 資訊保護 P2 訂用帳戶的選項已在入口網站中標示。

若組織有混合的訂用帳戶，您必須負責確認使用者不會使用其帳戶未獲授權的功能。 Azure 資訊保護用戶端不會執行授權檢查和強制執行原則。 當您設定並非所有使用者都有授權的選項時，請使用有範圍的原則或登錄設定，以確保組織可符合授權的規範：

• 當組織有 Azure 資訊保護 P1 和 Azure 資訊保護 P2 的混合授權時：針對具有 P2 授權的使用者，當您設定需要 Azure 資訊保護 P2 授權的選項時，請建立和使用一或多個有範圍的原則。 請確定您的全域原則不包含需要 Azure 資訊保護 P2 授權的選項。

• 當貴組織有 Azure 資訊保護的訂用帳戶，但某些使用者只有包含 Azure Rights Management服務的Microsoft 365授權：對於沒有 Azure 資訊保護授權的使用者，請編輯其電腦上的登錄，使其不會下載 Azure資訊保護原則。 如需指示，請參閱系統管理指南中有關下列自訂的主題：當組織有混合的授權時，強制執行僅限保護模式。

如需訂用帳戶的詳細資訊，請參閱我需要哪個 Azure 資訊保護訂用帳戶及包含哪些功能？

登入 Azure 入口網站

若要登入 Azure 入口網站，以設定及管理 Azure 資訊保護：

• 請使用以下連結：https://portal.azure.com

• 使用具有下列其中一個 系統管理員角色的 Azure AD 帳戶：

  • Azure 資訊保護系統管理員

  • 合規性管理員

  • 合規性資料管理員

  • 安全性系統管理員

    安全性讀取器 - 僅限Azure 資訊保護分析

    全域讀取器 - 僅限Azure 資訊保護分析

  • 全域管理員

    注意

    如果您的租使用者位於統一標籤平臺上， (先前 Azure 入口網站不支援「資訊保護系統管理員」) 的 Azure 資訊保護系統管理員角色。 詳細資訊

    Microsoft 帳戶無法管理 Azure 資訊保護。

第一次存取 Azure 資訊保護 窗格

1. 登入 Azure 入口網站。

2. 選取 [+ 建立資源]，然後從 Marketplace 的搜尋方塊中，輸入 Azure 資訊保護。

3. 從結果清單中，選取 [Azure 資訊保護]。 在[Azure 資訊保護]窗格中，按一下 [建立]。

   提示

   或者，可以選取 [釘選到儀表板]，在儀表板上建立 [Azure 資訊保護] 磚，以便您可以在下次登入入口網站時略過瀏覽步驟。

   再次按一下 [建立]。

4. 第一次連線到服務時，會顯示自動開啟的 [快速入門] 頁面。 您可以瀏覽建議的資源，或使用其他功能表選項。 若要設定標籤以供使用者選取，請使用下列程序。

下次存取[Azure 資訊保護]窗格時，它會自動選取 [卷標] 選項，以便檢視和設定所有使用者的標籤。 您可以從 [一般] 功能表選取 [快速入門] 頁面，以返回 [快速入門] 頁面。

如何設定 Azure 資訊保護原則

1. 請確定您已使用下列其中一個系統管理角色登入Azure 入口網站：Azure 資訊保護系統管理員、安全性系統管理員或全域管理。 如需這些系統管理角色的詳細資訊，請參閱先前的章節。

2. 如有必要，請流覽至[Azure 資訊保護] 窗格：例如，在中樞功能表上，按一下 [所有服務]，然後在 [篩選] 方塊中開始輸入資訊保護。 從結果中，選取 [Azure Information Protection]。

   [Azure 資訊保護 - 標籤] 窗格會自動開啟，讓您檢視和編輯可用的標籤。 標籤可藉由從原則中新增或移除它們，供所有使用者或選取的使用者使用，或者沒有任何使用者可以使用。

3. 若要檢視和編輯原則，從功能表選項中選取 [原則]。 若要檢視和編輯所有使用者均可取得的原則，選取 [全域] 原則。 若要針對選取的使用者建立自訂原則，選取 [新增原則]。

對原則進行變更

您可以建立任意數目的標籤。 不過，如果它們開始變得太多，讓使用者輕易就能看到和選取正確的標籤，請建立已設定領域的原則，讓使用者只看到相關的標籤。 套用保護的標籤有其上限，即 500。

當您在 [Azure 資訊保護] 窗格中進行任何變更時，請按一下 [儲存] 以儲存變更，或按一下 [捨棄] 還原至最後儲存的設定。 當您將變更儲存在原則中，或對新增至原則的標籤進行變更時，這些變更會自動發佈。 不提供個別的發佈選項。

每當支援的 Office 應用程式啟動時，Azure 資訊保護用戶端會檢查是否有任何變更，並將變更下載為其最新的 Azure 資訊保護原則。 在用戶端上重新整理原則的其他觸發程序：

• 按一下滑鼠右鍵以分類及保護檔案或資料夾。

• 執行 PowerShell Cmdlet 以設定標籤與保護 (Get-AIPFileStatus、Set-AIPFileClassification 和 Set-AIPFileLabel)。

• 每 24 小時。

• Azure 資訊保護掃描器：服務啟動時 (如果原則超過一小時)，以及作業期間每小時。

注意

用戶端下載原則時，請預備等候幾分鐘才能完整運作。 實際的時間會依各項因素而異，例如原則設定的大小和複雜度及網路連線。 如果標籤產生的動作與您最近的變更不符，請稍待最多 15 分鐘後再試一次。

設定組織的原則

使用下列資訊來協助您設定 Azure 資訊保護原則：

• 預設 Information Protection 原則

• 如何設定原則設定

• 如何建立新標籤

• 如何新增或移除標籤

• 如何刪除或重新排序標籤

• 如何變更或自訂現有標籤

• 如何設定保護的標籤

• 如何設定標籤以套用視覺標記

• 如何設定自動與建議分類的條件

• 如何使用範圍原則針對特定使用者設定原則

• 如何設定及管理範本

• 如何針對不同語言設定標籤

• 如何將 Azure 資訊保護標籤遷移至Microsoft 365

電子郵件與文件中儲存的標籤資訊

當標籤套用到文件或電子郵件時，在背景中，標籤是儲存在中繼資料中，以便應用程式與服務可以讀取標籤：

• 在電子郵件中，此資訊會儲存在 x 標頭中： msip_labels：MSIP_Label_ < GUID > _Enabled=True

• 對於 Word 檔 (.doc 和.docx) ，Excel試算表 (.xls 和.xlsx) 、PowerPoint簡報 (.ppt .pptx) 和 PDF 檔，此中繼資料會儲存在下列自訂屬性中：MSIP_Label_ < GUID > _Enabled=True

對於電子郵件，標籤資訊會在傳送電子郵件時儲存。 對於檔，標籤資訊會在儲存檔案時儲存。

若要識別標籤的 GUID，請在檢視或設定 Azure 資訊保護原則時，在 Azure 入口網站 [標籤] 窗格的 [標籤] 窗格中找到 [卷標識別碼] 值。 對於已套用標籤的檔案，您也可以執行 Get-AIPFileStatus PowerShell Cmdlet 來識別 GUID (MainLabelId 或 SubLabelId)。 當標籤有子標籤時，請一律只指定子標籤的 GUID，而不要指定父標籤的 GUID。

後續步驟

如需如何自訂 Azure 資訊保護原則的範例，以及查看使用者的最終行為，請嘗試下列教學課程：

• 編輯 Azure 資訊保護原則和建立新標籤

• 設定搭配運作的 Azure 資訊保護原則設定