Plán nasazení AIP pro klasifikaci, označování a ochranu

Poznámka:

Hledáte Microsoft Purview Information Protection, dříve Microsoft Information Protection (MIP)?

Doplněk Azure Information Protection pro Office je teď v režimu údržby a bude vyřazen z dubna 2024. Místo toho doporučujeme používat popisky, které jsou integrované v aplikacích a službách Office 365. Přečtěte si další informace o stavu podpory dalších komponent služby Azure Information Protection.

Následující kroky vám pomůžou při přípravě, implementaci a správě služby Azure Information Protection pro vaši organizaci, když chcete klasifikovat, označovat a chránit vaše data.

Tento plán se doporučuje pro všechny zákazníky s podpůrným předplatným. Mezi další možnosti patří zjišťování citlivých informací a označování dokumentů a e-mailů pro klasifikaci.

Popisky můžou také používat ochranu, což zjednodušuje tento krok pro vaše uživatele.

Proces nasazení

Proveďte následující kroky:

  1. Potvrzení předplatného a přiřazení uživatelských licencí
  2. Příprava tenanta na používání služby Azure Information Protection
  3. Konfigurace a nasazení klasifikace a popisování
  4. Příprava na ochranu dat
  5. Konfigurace popisků a nastavení, aplikací a služeb pro ochranu dat
  6. Použití a monitorování řešení ochrany dat
  7. Správa podle potřeby zastavte službu ochrany vašeho účtu tenanta.

Tip

Už používáte funkci ochrany ze služby Azure Information Protection? Mnoho z těchto kroků můžete přeskočit a zaměřit se na kroky 3 a 5.1.

Potvrzení předplatného a přiřazení uživatelských licencí

Ověřte, že vaše organizace má předplatné, které zahrnuje funkce a funkce, které očekáváte. Další informace najdete na stránce s pokyny k licencování Microsoftu 365 pro zabezpečení a dodržování předpisů .

Potom každému uživateli ve vaší organizaci přiřaďte licence z tohoto předplatného, kteří budou klasifikovat, označovat je a chránit dokumenty a e-maily.

Důležité

Nepřiřazujte uživatelské licence z bezplatného předplatného RMS pro jednotlivce ručně a nepoužívejte tuto licenci ke správě služby Azure Rights Management pro vaši organizaci.

Tyto licence se v Centrum pro správu Microsoftu 365 zobrazují jako Adhoc služby Rights Management a RIGHTSMANAGEMENT_ADHOC při spuštění rutiny Azure AD PowerShellu Get-MsolAccountSku.

Další informace najdete v tématu RMS pro jednotlivce a Azure Information Protection.

Příprava tenanta na používání služby Azure Information Protection

Než začnete používat Azure Information Protection, ujistěte se, že máte uživatelské účty a skupiny v Microsoftu 365 nebo Microsoft Entra ID, které může AIP použít k ověřování a autorizaci uživatelů.

V případě potřeby vytvořte tyto účty a skupiny nebo je synchronizujte z místního adresáře.

Další informace najdete v tématu Příprava uživatelů a skupin pro Azure Information Protection.

Konfigurace a nasazení klasifikace a popisování

Proveďte následující kroky:

  1. Kontrola souborů (volitelné, ale doporučené)

    Nasaďte klienta služby Azure Information Protection a pak nainstalujte a spusťte skener , abyste zjistili citlivé informace, které máte v místních úložištích dat.

    Informace, které skener najde, vám můžou pomoct s klasifikační taxonomií, poskytnout cenné informace o popiscích, které potřebujete, a o souborech, které potřebují chránit.

    Režim zjišťování skeneru nevyžaduje žádnou konfiguraci nebo taxonomii popisků, a proto je vhodný v této počáteční fázi nasazení. Tuto konfiguraci skeneru můžete použít paralelně s následujícími kroky nasazení, dokud nenakonfigurujete doporučené nebo automatické popisování.

  2. Přizpůsobte výchozí zásady AIP.

    Pokud ještě nemáte strategii klasifikace, použijte výchozí zásadu jako základ pro určení popisků, které budete pro svá data potřebovat. Tyto popisky si podle potřeby upravte tak, aby vyhovovaly vašim potřebám.

    Můžete například chtít překonfigurovat štítky s následujícími podrobnostmi:

    • Ujistěte se, že popisky podporují vaše rozhodnutí o klasifikaci.
    • Konfigurace zásad pro ruční označování podle uživatelů
    • Napište uživatelské pokyny, které vám pomůžou vysvětlit, který popisek se má použít v jednotlivých scénářích.
    • Pokud jste vytvořili výchozí zásadu s popisky, které automaticky aplikují ochranu, můžete při testování nastavení dočasně odebrat nastavení ochrany nebo zakázat popisek.

    Popisky citlivosti a zásady popisování pro klienta sjednoceného popisování jsou nakonfigurované v Portál dodržování předpisů Microsoft Purview. Další informace najdete v tématu Informace o popiscích citlivosti.

  3. Nasazení klienta pro uživatele

    Jakmile nakonfigurujete zásadu, nasaďte klienta služby Azure Information Protection pro vaše uživatele. Zadejte uživatelská školení a konkrétní pokyny, kdy popisky vybrat.

    Další informace najdete v průvodci správcem klienta sjednoceného popisování.

  4. Představení pokročilejších konfigurací

    Počkejte, až se vaši uživatelé budou snadněji seznámit s popisky v jejich dokumentech a e-mailech. Až budete připravení, zavedete pokročilé konfigurace, například:

    • Použití výchozích popisků
    • Výzva uživatelů k odůvodnění, pokud zvolili popisek s nižší úrovní klasifikace nebo popisek odebrali
    • Vyžadování, aby všechny dokumenty a e-maily měly popisek
    • Přizpůsobení záhlaví, zápatí nebo vodoznaků
    • Doporučené a automatické popisování

    Další informace najdete v tématu Správa Guide: Custom configurations.

    Tip

    Pokud jste nakonfigurovali popisky pro automatické popisování, spusťte skener Azure Information Protection znovu v místním úložišti dat v režimu zjišťování a podle svých zásad.

    Spuštění skeneru v režimu zjišťování vám řekne, které popisky se použijí u souborů, což vám pomůže vyladit konfiguraci štítků a připravit vás na hromadnou klasifikaci a ochranu souborů.

Příprava na ochranu dat

Jakmile se uživatelé stanou pohodlnými popisky dokumentů a e-mailů, zaveďte ochranu dat pro nejcitlivější data.

Při přípravě na ochranu dat proveďte následující kroky:

  1. Určete, jak chcete spravovat klíč tenanta.

    Rozhodněte se, jestli chcete, aby váš klíč tenanta spravoval Microsoft (výchozí nastavení), nebo aby klíč tenanta vygeneroval a spravoval sami (označuje se jako přineste si vlastní klíč nebo BYOK).

    Další informace a možnosti pro další místní ochranu najdete v tématu Plánování a implementace klíče tenanta služby Azure Information Protection.

  2. Nainstalujte PowerShell pro AIP.

    Nainstalujte modul PowerShellu pro AIPService na alespoň jeden počítač s přístupem k internetu. Tento krok můžete provést nyní nebo později.

    Další informace najdete v tématu Instalace modulu AIPService PowerShell.

  3. Pouze SLUŽBA AD RMS: Migrujte klíče, šablony a adresy URL do cloudu.

    Pokud aktuálně používáte SLUŽBU AD RMS, proveďte migraci a přesuňte klíče, šablony a adresy URL do cloudu.

    Další informace naleznete v tématu Migrace ze služby AD RMS na Information Protection.

  4. Aktivujte ochranu.

    Ujistěte se, že je služba ochrany aktivovaná, abyste mohli začít chránit dokumenty a e-maily. Pokud nasazujete ve více fázích, nakonfigurujte ovládací prvky onboardingu uživatelů, abyste omezili možnost použití ochrany uživatelů.

    Další informace najdete v tématu Aktivace služby ochrany ze služby Azure Information Protection.

  5. Zvažte protokolování využití (volitelné).

    Zvažte protokolování využití, abyste mohli monitorovat, jak vaše organizace používá službu ochrany. Tento krok můžete provést nyní nebo později.

    Další informace najdete v tématu Protokolování a analýza využití ochrany ze služby Azure Information Protection.

Konfigurace popisků a nastavení, aplikací a služeb pro ochranu dat

Proveďte následující kroky:

  1. Aktualizace popisků tak, aby se použila ochrana

    Další informace najdete v tématu Omezení přístupu k obsahu pomocí šifrování v popiscích citlivosti.

    Důležité

    Uživatelé můžou v Outlooku použít popisky, které používají ochranu Rights Management, i když exchange není nakonfigurovaný pro správu přístupových práv k informacím (IRM).

    Dokud ale exchange nenakonfiguruje šifrování zpráv IRM nebo Microsoft 365 s novými možnostmi, vaše organizace nebude mít plnou funkčnost používání ochrany Azure Rights Management s Exchangem. Tato další konfigurace je součástí následujícího seznamu (2 pro Exchange Online a 5 pro místní Exchange).

  2. Konfigurace aplikace Office konfigurací a služeb

    Nakonfigurujte aplikace Office lications a služby pro funkce správy přístupových práv k informacím (IRM) v Microsoft SharePointu nebo Exchange Online.

    Další informace najdete v tématu Konfigurace aplikací pro Azure Rights Management.

  3. Konfigurace funkce superuživatele pro obnovení dat

    Pokud máte stávající IT služby, které potřebují zkontrolovat soubory, které bude Azure Information Protection chránit – jako jsou řešení ochrany před únikem informací (DLP), brány šifrování obsahu (CEG) a antimalwarové produkty – nakonfigurujte účty služeb tak, aby byly superuživateli pro Azure Rights Management.

    Další informace najdete v tématu Konfigurace superuživatelů pro azure Information Protection a služby zjišťování nebo obnovení dat.

  4. Hromadná klasifikace a ochrana existujících souborů

    Pro vaše místní úložiště dat teď spusťte skener služby Azure Information Protection v režimu vynucení, aby se soubory automaticky označily.

    Pro soubory na počítačích použijte rutiny PowerShellu ke klasifikaci a ochraně souborů. Další informace najdete v tématu Použití PowerShellu s klientem sjednoceného popisování služby Azure Information Protection.

    V případě cloudových úložišť dat použijte Microsoft Defender for Cloud Apps.

    Tip

    Klasifikace a ochrana existujících souborů hromadně není jedním z hlavních případů použití Defenderu for Cloud Apps, ale zdokumentovaná alternativní řešení vám můžou pomoct klasifikovat a chránit vaše soubory.

  5. Nasazení konektoru pro knihovny chráněné technologií IRM na SharePoint Serveru a e-maily chráněné technologií IRM pro místní Exchange

    Pokud máte místní SharePoint a Exchange a chcete používat funkce správy přístupových práv k informacím (IRM), nainstalujte a nakonfigurujte konektor Rights Management.

    Další informace najdete v tématu Nasazení konektoru Microsoft Rights Management.

Použití a monitorování řešení ochrany dat

Teď jste připraveni sledovat, jak vaše organizace používá popisky, které jste nakonfigurovali, a potvrdit, že chráníte citlivé informace.

Další informace najdete na následujících stránkách:

Správa podle potřeby zastavte službu ochrany vašeho účtu tenanta.

Když začnete službu ochrany používat, může být powershell užitečný k tomu, aby vám pomohl skriptovat nebo automatizovat změny správy. PowerShell může být také potřeba pro některé pokročilé konfigurace.

Další informace najdete v tématu Správa stering ochrany ze služby Azure Information Protection pomocí PowerShellu.

Další kroky

Při nasazování služby Azure Information Protection může být užitečné zkontrolovat nejčastější dotazy, známé problémy a informace a stránku podpory pro další zdroje informací.