Стратегия развертывания AIP для классификации, маркировки и защиты

  • Статья

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Новый клиент Microsoft Information Protection (без надстройки) в настоящее время находится в предварительной версии и планируется для общедоступной доступности.

Выполните следующие действия в качестве рекомендаций для подготовки, реализации и управления Azure Information Protection для организации, когда вы хотите классифицировать, метки и защищать данные.

Эта стратегия рекомендуется для всех клиентов с поддержкой подписки. Дополнительные возможности включают как обнаружение конфиденциальной информации, так и документы с метками и электронные письма для классификации.

Метки также могут применять защиту, упрощая этот шаг для пользователей.

Совет

Кроме того, вы можете найти одну из следующих статей:

Процесс развертывания

Выполните следующие шаги:

  1. Подтверждение подписки и назначение пользовательских лицензий
  2. Подготовка клиента к использованию Azure Information Protection
  3. Настройка и развертывание классификации и меток
  4. Подготовка к защите данных
  5. Настройка меток и параметров, приложений и служб для защиты данных
  6. Использование и мониторинг решений по защите данных
  7. Администратор стереть службу защиты для учетной записи клиента по мере необходимости

Совет

Уже используя функцию защиты из Azure Information Protection? Вы можете пропустить многие из этих шагов и сосредоточиться на шагах 3 и 5.1.

Подтверждение подписки и назначение пользовательских лицензий

Убедитесь, что у вашей организации есть подписка, которая включает в себя ожидаемые функции и функции. Дополнительные сведения см. в руководстве по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

Затем назначьте лицензии из этой подписки каждому пользователю в организации, который будет классифицировать, метки и защищать документы и сообщения электронной почты.

Внимание

Не назначайте лицензии пользователей вручную из бесплатной подписки RMS для частных лиц и не используйте эту лицензию для администрирования службы Azure Rights Management для вашей организации.

Эти лицензии отображаются как Adhoc Rights Management в Центр администрирования Microsoft 365 и RIGHTSMANAGEMENT_ADHOC при запуске командлета Azure AD PowerShell Get-MsolAccountSku.

Дополнительные сведения см. в статье RMS для частных лиц и Azure Information Protection.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

Подготовка клиента к использованию Azure Information Protection

Прежде чем приступить к использованию Azure Information Protection, убедитесь, что у вас есть учетные записи пользователей и группы в Microsoft 365 или Идентификатор Microsoft Entra, который AIP может использовать для проверки подлинности и авторизации пользователей.

При необходимости создайте эти учетные записи и группы или синхронизируйте их из локального каталога.

Дополнительные сведения см. в статье "Подготовка пользователей и групп для Azure Information Protection".

Настройка и развертывание классификации и меток

Выполните следующие шаги:

  1. Сканирование файлов (необязательно, но рекомендуется)

    Разверните клиент Azure Information Protection, а затем установите и запустите сканер , чтобы обнаружить конфиденциальную информацию, доступную в локальных хранилищах данных.

    Сведения о том, что сканер находит, могут помочь вам в таксономии классификации, предоставить ценные сведения о необходимых метках и о том, какие файлы требуются для защиты.

    В режиме обнаружения сканера не требуется конфигурация меток или таксономия, поэтому она подходит на этом раннем этапе развертывания. Эту конфигурацию сканера можно также использовать параллельно со следующими шагами развертывания, пока не будет настроена рекомендуемая или автоматическая маркировка.

  2. Настройте политику AIP по умолчанию.

    Если у вас еще нет стратегии классификации, используйте политику по умолчанию в качестве основы для определения меток, необходимых для данных. Настройте эти метки в соответствии с вашими потребностями.

    Например, может потребоваться перенастроить метки со следующими сведениями:

    • Убедитесь, что метки поддерживают решения по классификации.
    • Настройка политик для маркировки вручную пользователями
    • Напишите инструкции пользователя, чтобы объяснить, какая метка должна применяться в каждом сценарии.
    • Если политика по умолчанию создана с метками, которые автоматически применяют защиту, может потребоваться временно удалить параметры защиты или отключить метку при тестировании параметров.

    Метки конфиденциальности и политики меток для клиента унифицированных меток настраиваются в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в разделе "Сведения о метках конфиденциальности".

  3. Развертывание клиента для пользователей

    После настройки политики разверните клиент Azure Information Protection для пользователей. Укажите обучение пользователей и конкретные инструкции, когда следует выбрать метки.

    Дополнительные сведения см. в руководстве администратора клиента унифицированных меток.

  4. Знакомство с более сложными конфигурациями

    Подождите, чтобы пользователи стали более удобными с метками в своих документах и сообщениях электронной почты. Когда вы будете готовы, введите дополнительные конфигурации, например:

    • Применение меток по умолчанию
    • Запрос пользователей на обоснование, если они выбрали метку с более низким уровнем классификации или удалите метку
    • Создание элемента управления для всех документов и сообщений электронной почты с меткой
    • Настройка верхних, нижних колонтитулов или подложек
    • Рекомендуемые и автоматические метки

    Дополнительные сведения см. в руководстве по Администратор: пользовательские конфигурации.

    Совет

    Если вы настроили метки для автоматической маркировки, запустите сканер Azure Information Protection еще раз в локальных хранилищах данных в режиме обнаружения и в соответствии с политикой.

    При запуске сканера в режиме обнаружения вы указываете, какие метки будут применяться к файлам, что помогает точно настроить конфигурацию меток и подготовить вас к классификации и защите файлов в массовом порядке.

Подготовка к защите данных

Введите защиту данных для наиболее конфиденциальных данных после того, как пользователи становятся удобными документами и электронными письмами.

Выполните следующие действия, чтобы подготовиться к защите данных:

  1. Определите способ управления ключом клиента.

    Определите, хотите ли корпорация Майкрософт управлять ключом клиента (по умолчанию) или самостоятельно создавать ключ клиента и управлять ими (известный как собственный ключ или BYOK).

    Дополнительные сведения и параметры дополнительной локальной защиты см. в статье "Планирование и реализация ключа клиента Azure Information Protection".

  2. Установите PowerShell для AIP.

    Установите модуль PowerShell для AIPService по крайней мере на одном компьютере с доступом к Интернету. Этот шаг можно выполнить сейчас или позже.

    Дополнительные сведения см. в разделе "Установка модуля AIPService PowerShell".

  3. AD RMS: перенос ключей, шаблонов и URL-адресов в облако.

    Если вы используете AD RMS, выполните миграцию для перемещения ключей, шаблонов и URL-адресов в облако.

    Дополнительные сведения см. в статье "Миграция из AD RMS в Information Protection".

  4. Активируйте защиту.

    Убедитесь, что служба защиты активируется, чтобы начать защищать документы и сообщения электронной почты. При развертывании на нескольких этапах настройте элементы управления подключением пользователей, чтобы ограничить возможность применения защиты пользователей.

    Дополнительные сведения см. в статье "Активация службы защиты из Azure Information Protection".

  5. Рассмотрите возможность ведения журнала использования (необязательно).

    Рассмотрите возможность ведения журнала для мониторинга того, как ваша организация использует службу защиты. Этот шаг можно выполнить сейчас или позже.

    Дополнительные сведения см. в разделе "Ведение журнала" и анализ использования защиты от Azure Information Protection.

Настройка меток и параметров, приложений и служб для защиты данных

Выполните следующие шаги:

  1. Обновление меток для применения защиты

    Дополнительные сведения см. в разделе "Ограничение доступа к содержимому" с помощью шифрования меток конфиденциальности.

    Внимание

    Пользователи могут применять метки в Outlook, которые применяют защиту Rights Management, даже если Exchange не настроен для управления правами на доступ к данным (IRM).

    Однако до тех пор, пока Exchange не будет настроен для шифрования сообщений IRM или Microsoft 365 с новыми возможностями, ваша организация не получит полную функциональность использования защиты Azure Rights Management с Exchange. Эта дополнительная конфигурация включена в следующий список (2 для Exchange Online и 5 для локальной среды Exchange).

  2. Настройка Приложение Office ликации и служб

    Настройте Приложение Office ликации и службы для функций управления правами на доступ к данным (IRM) в Microsoft SharePoint или Exchange Online.

    Дополнительные сведения см. в разделе "Настройка приложений для Azure Rights Management".

  3. Настройка функции суперпользоваемого пользователя для восстановления данных

    Если у вас есть ИТ-службы, которые должны проверять файлы, защищенные Azure Information Protection, например решения защиты от утечки данных (DLP), шлюзы шифрования содержимого (CEG) и продукты защиты от вредоносных программ, настройте учетные записи служб для суперпользователей Azure Rights Management.

    Дополнительные сведения см. в статье о настройке суперпользователей для Служб Azure Information Protection и служб обнаружения или восстановления данных.

  4. Классификация и защита существующих файлов в массовом режиме

    Для локальных хранилищ данных теперь запустите сканер Azure Information Protection в режиме принудительного применения, чтобы файлы автоматически помечены.

    Для файлов на компьютерах используйте командлеты PowerShell для классификации и защиты файлов. Дополнительные сведения см. в статье Об использовании PowerShell с клиентом унифицированных меток Azure Information Protection.

    Для облачных хранилищ данных используйте приложения Microsoft Defender для облака.

    Совет

    Хотя классификация и защита существующих файлов в массовом режиме не является одним из основных вариантов использования приложений Defender для облака, документированные обходные пути помогут вам классифицировать и защищать файлы.

  5. Развертывание соединителя для библиотек, защищенных IRM, в SharePoint Server и защищенных IRM-адресах электронной почты для локальной среды Exchange

    Если в локальной среде SharePoint и Exchange вы хотите использовать функции управления правами на доступ к данным (IRM), установите и настройте соединитель Rights Management.

    Дополнительные сведения см. в разделе "Развертывание соединителя Microsoft Rights Management".

Использование и мониторинг решений по защите данных

Теперь вы готовы отслеживать, как ваша организация использует метки, настроенные и убедитесь, что вы защищаете конфиденциальную информацию.

Дополнительные сведения см. на следующих страницах:

Администратор стереть службу защиты для учетной записи клиента по мере необходимости

Когда вы начинаете использовать службу защиты, вы можете найти PowerShell полезной, чтобы помочь скрипту или автоматизировать административные изменения. PowerShell также может потребоваться для некоторых расширенных конфигураций.

Дополнительные сведения см. в разделе Администратор защиты от Azure Information Protection с помощью PowerShell.

Следующие шаги

При развертывании Azure Information Protection вы можете проверка часто задаваемые вопросы, известные проблемы и страницу поддержки для дополнительных ресурсов.