Azure 信息保护 (AIP) 标记、分类和保护

注意

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态

Azure 信息保护 (AIP) 是一种基于云的解决方案,可帮助组织通过应用标签来对文档和电子邮件进行分类和保护。

例如,你的管理员可能配置了一个具有检测敏感数据(例如信用卡信息)的规则的标签。 在这种情况下,在 Word 文件中保存信用卡信息的所有用户都可能在文档顶部看到一个工具栏,其中建议他们应用针对此场景的相关标签。

标签可以对文档进行分类和(可选)保护,使你能够:

  • 跟踪和控制使用内容的方式
  • 分析数据流以深入了解业务 - 检测有风险的行为并采取纠正措施
  • 跟踪文档访问,防止数据泄漏或不当使用
  • 以及更多...

标签如何使用 AIP 应用分类

使用 AIP 标记内容包括:

  • 无论数据存储在哪里或与谁共享都能检测到的分类。
  • 视觉标记,例如标头、页脚或水印。
  • 元数据,以明文形式添加到文件和电子邮件标头。 明文形式的元数据可确保其他服务能够识别分类并执行相应的操作

例如在下图中,标记服务已将一封电子邮件分类为“常规”:

Sample email footer and headers showing Azure Information Protection classification

在此示例中,标记还:

  • 向这封电子邮件添加了“敏感度: 常规”页脚。 该页脚是显示给所有收件人的一个可视指示器,用于不得在组织外部发送的一般业务数据。
  • 在电子邮件标头中嵌入了的元数据。 通过标头数据,电子邮件服务可检测标签,从理论上说可创建审核条目或阻止它发送到组织外部。

标签可由管理员使用规则和条件来自动应用、由用户手动应用,也可通过这两者的组合进行应用(此时管理员会定义显示给用户的建议)。

AIP 如何保护数据

Azure 信息保护使用 Azure Rights Management 服务 (Azure RMS) 来保护数据。

Azure RMS 与其他 Azure 云服务和应用程序(如 Office 365 和 Microsoft Entra ID)集成,还可以与你自己的或第三方应用程序和信息保护解决方案配合使用。 Azure RMS 同时适用于本地和云解决方案。

Azure RMS 使用加密、标识和授权策略。 与 AIP 标签类似,无论文档或电子邮件位于何处,使用 Azure RMS 应用的保护都保留在文档和电子邮件中,从而确保你始终控制你的内容,即使与其他人共享也是如此。

保护设置可以:

  • 并入标签配置中,让用户只需应用标签即可对文档和电子邮件进行分类和保护。

  • 通过支持保护但不标记的应用程序和服务自行使用。

    对于只支持保护的应用程序和服务,保护设置用作权限管理模板

例如,你可能想要配置一个报表或销售预测电子表格,以便它只能供你组织中的人员访问。 在这种情况下,你要应用保护设置来控制是可编辑该文档、将文档限制为只读,还将阻止打印文档。

电子邮件可具有类似的保护设置,来防止被转发或使用“全部答复”选项。

权限管理模板

在激活 Azure Rights Management 服务之后,便会为你提供两个默认权限管理模板,用于将数据访问权限限制为你组织内的用户。 可立即使用这些模板,也可配置你自己的保护设置,在新模板中应用更严格的控制。

权限管理模板可用于支持 Azure 权限权利的任何应用程序或服务。

下图显示了 Exchange 管理中心的一个示例,其中你可配置 Exchange Online 邮件流规则来使用 RMS 模板:

Example of selecting templates for Exchange Online

注意

创建包含保护设置的 AIP 标签时,还将创建一个相应的权限管理模板,它可独立于标签单独使用。

有关详细信息,请参阅什么是 Azure 权限管理?

文档和电子邮件的 AIP 和最终用户集成

AIP 客户端会向 Office 应用程序安装“信息保护”栏,让最终用户能够将 AIP 集成到他们的文档和电子邮件中。

例如,在 Excel 中:

Example of the Azure Information Protection bar in Excel

虽然标签可自动应用于文档和电子邮件,从而免除用户的猜测并符合组织策略,但最终用户可使用“信息保护”栏自行选择标签和应用分类。

此外,通过 AIP 客户端,用户可使用 Windows 文件资源管理器中的右键单击菜单来分类和保护其他文件类型,或者一次性地分类和保护多个文件。 例如:

File Explorer right-click Classify and protect using Azure Information Protection

“分类和保护”菜单选项的工作方式与 Office 应用程序汇总的“应用保护”栏类似,用户可选择标签或设置自定义权限。

提示

高级用户或管理员可能会发现,PowerShell 命令可用来更高效地管理和设置多个文件的分类和保护。 客户端中有相关的 PowerShell 命令,它们也可单独安装。

用户和管理员可使用文档跟踪站点来监视受保护的文档、查看谁何时访问了这些文档。 如果他们怀疑存在误用,则还可以撤消对这些文档的访问权限。 例如:

Revoke access icon in the document tracking site

其他电子邮件集成

将 AIP 与 Exchange Online 结合使用可带来额外的好处,可将受保护的电子邮件发送给任意用户并保证他们可在任意设备上阅读这些邮件。

例如,你可能需要将敏感信息发送到使用 GmailHotmailMicrosoft 帐户的个人电子邮件地址,或发送给在 Office 365 或 Microsoft Entra ID 中没有帐户的用户的个人电子邮件地址。 这些电子邮件应静态加密并在传输中加密,且只有原始收件人才能阅读。

此方案需要 Office 365 消息加密功能。 如果收件人在其内置电子邮件客户端中无法打开受保护的电子邮件,则可以使用一次性密码,通过浏览器阅读敏感信息。

例如,Gmail 用户可能会在收到的电子邮件中看到以下提示:

Gmail recipient experience for OME and AIP

对于发送电子邮件的用户,他们需要与将受保护的电子邮件发送到自己的组织中的用户时执行相同的操作。 例如,选择“请勿转发”按钮,使 AIP 客户端可添加到 Outlook 功能区。

或者,“请勿转发”功能可集成到标签中,用户可选择它来向该电子邮件同时应用分类和保护。 例如:

Selecting a label configured for Do Not Forward

管理员也可配置要应用权限保护的邮件流规则,为用户自动提供保护。

附加到这些电子邮件的任何 Office 文档页将自动受到保护。

扫描现有内容来进行分类和保护

理想情况是,你在创建文档和电子邮件时对它们进行标记。 但是,你可能已在本地或云端存储很多文档,而你也想要对这些文档进行分类和保护。

使用下述方法之一对现有内容进行分类和保护:

  • 本地存储:请使用 Azure 信息保护扫描程序来发现网络共享和 Microsoft SharePoint Server 站点及库中的文档,并对其进行分类和保护。

    扫描程序将作为一项服务在 Windows Server 上运行,它使用同一套策略规则来检测敏感信息并对文档应用特定标签。

    或者,使用扫描程序向数据存储库中的所有文档应用默认标签,这样就无需检查文件内容。 仅在报告模式下使用扫描程序,来发现你可能不知道的敏感信息。

  • 云数据存储:使用 Microsoft Defender for Cloud Apps 将标签应用于 Box、SharePoint 和 OneDrive 中的文档。 要查看教程,请参阅自动应用 Azure 信息保护分类标签

后续步骤

借助快速入门和教程,自行配置和使用 Azure 信息保护:

如果已准备好为组织部署该服务,请转到操作方法指南