默认 Azure 信息保护策略

适用于:Azure 信息保护

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 有关统一标记客户端,请参阅 Microsoft 365 文档中的了解敏感度标签

注意

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不提供对经典客户端的进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

本文中的内容仅为具有外延支持的客户提供支持。 有关详细信息,请参阅已删除和停用的服务

使用以下信息来了解如何配置 Azure 信息保护的默认策略。

管理员使用 Azure 门户初次连接到 Azure 信息保护服务时,将创建该租户的 Azure 信息保护默认策略。 有时,Microsoft 会对默认策略进行更改,但如果在修改默认策略之前就已经在使用该服务,将不会更新 Azure 信息保护早期版本的默认策略,因为可能已对其进行配置并将其部署到生产环境中。

引用以下值可以将 Azure 信息保护策略返回到默认策略,或将 Azure 信息保护策略更新为最新值。

重要

从 2019 年 4 月开始,不会自动为新客户创建默认标签。 将面向统一标记平台自动预配这些租户,因此在 Azure 门户中进行配置后,无需迁移标签。

对于这些租户,如果尚未在 Microsoft 365 合规中心创建任何敏感度标签,则可以基于 Azure 信息保护的当前默认策略创建默认标签。 为此,请从“标签”窗格中选择“生成默认标签” ,然后将这些标签添加到全局策略。 如果看不到生成默认标签的选项,则可能需要先从“管理”“统一标记”窗格激活统一标记。 有关详细说明,请参阅在 Azure 门户中开始使用 Azure 信息保护快速入门。

当前默认策略

此版 Azure 信息保护默认策略从 2017 年 7 月 31 日开始提供。

此 Azure 信息保护默认策略是在 Azure Rights Management 服务激活时创建的(从 2018 年 2 月开始对新租户可用)。 有关详细信息,请参阅博客文章公告对 Azure 信息保护中的保护堆栈所做的改进

如果在 Azure 信息保护创建策略前已手动激活此服务,也会创建此 Azure 信息保护默认策略。

如果未激活此服务,则 Azure 信息保护默认策略不会为以下子标签配置保护:

  • 机密\所有员工

  • 机密\仅收件人

  • 高度机密\所有员工

  • 高度机密\仅收件人

如果没有为这些子标签自动配置保护,Azure 信息保护默认策略会与旧版默认策略保持一致。

将保护应用于“所有员工”子标签时,将通过使用在 Azure 门户中自动转换为标签的默认模板来配置此保护。 有关这些模板的详细信息,请参阅配置和管理 Azure 信息保护的模板

自 2017 年 8 月 30 日起,此版 Azure 信息保护默认策略包括多语言版本的标签名称和说明。

有关“仅收件人”子标签的详细信息

用户仅在 Outlook 中看到此标签。 他们不会在 Word、Excel、PowerPoint 或文件资源管理器中看到此标签。

当用户选择此标签时,Outlook 的“不要转发”选项会自动应用于电子邮件。 用户指定的收件人不能转发该电子邮件且不能复制或打印内容,也不能保存任何附件。

标签

标签 工具提示 设置
个人 非业务数据,仅供个人使用。 已启用:开

颜色:浅绿色

视觉标记

条件:无

保护:无
公用 专为公共使用而准备和批准的业务数据。 已启用:开

颜色:绿色

可视标记:关闭

条件:无

保护:无
常规 不公开使用的业务数据。 但是,可根据需要与外部合作伙伴共享该数据。 示例包括公司内部电话簿、组织结构图、内部标准和大部分内部通信。 已启用:开

颜色:蓝色

可视标记:关闭

条件:无

保护:无
机密 与未经授权的人员共享时可导致业务损失的敏感业务数据。 例如合同、安全报告、预测摘要和销售帐户数据。 已启用:开

颜色:橙色

可视标记:关闭

条件:无

保护:无
高度机密 与未经授权的人员共享时会导致业务损失的高度敏感业务数据。 例如员工和客户信息、密码、源代码和预先公布的财务报表。 已启用:开

颜色:红色

可视标记:关闭

条件:无

保护:无

子标签

标签 工具提示 设置
机密\所有员工 需保护的机密数据,所有员工具有完全权限。 数据所有者可跟踪和撤消内容。 已启用:开

可视标记:页脚(文档和电子邮件)

归类为机密

条件:无

保护:Azure (云密钥) [1]
机密\任何人(不受保护) 无需保护的数据。 使用此选项时需谨慎,并具有选择此选项的合理业务理由。 已启用:开

可视标记:页脚(文档和电子邮件)

分类为机密

条件:无

保护:无
机密\仅收件人 需要保护且仅收件人可以查看的机密数据。 已启用:开

视觉标记:页脚(电子邮件)

分类为机密

条件:无

保护:设置用户定义的权限(预览 [3]),在 Outlook 中应用“不转发”
高度机密\所有员工 高度机密数据,所有员工具有查看、编辑和回复此内容的权限。 数据所有者可跟踪和撤消内容。 已启用:开

可视标记:页脚(文档和电子邮件)

归类为高度机密

条件:无

保护:Azure (云密钥) [2]
高度机密\任何人(不受保护) 无需保护的数据。 使用此选项时需谨慎,并具有选择此选项的合理业务理由。 已启用:开

可视标记:页脚(文档和电子邮件)

归类为高度机密

条件:无

保护:无
高度机密\仅收件人 需要保护且仅收件人可以查看的高度机密数据。 已启用:开

视觉标记:页脚(电子邮件)

分类为高度机密

条件:无

保护:设置用户定义的权限(预览 [3]),在 Outlook 中应用“不转发”
脚注 1

保护权限与默认模板“机密\所有员工”中的保护权限相匹配

脚注 2

保护权限与默认模板“高度机密\所有员工”中的保护权限相匹配

脚注 3

此功能目前处于预览状态。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

信息保护栏

设置
标题 敏感性
工具提示 此内容的当前标签。 此设置的作用是在与组织内外未经授权的人员共享此内容时识别业务风险。

设置

2017 年 7 月 31 日后添加了一些设置。

设置 “值”
选择默认标签
将审核数据发送到 Azure 信息保护分析
所有文档和电子邮件都必须自动应用或由用户应用标签
用户必须提供理由以设置较低分类标签、删除标签或删除保护
对于带有附件的电子邮件,使用与这些附件的最高等级相匹配的标签
在 Office 应用中显示“信息保护”栏
向 Outlook 功能区添加“不要转发”按钮
使用户能够使用“自定义权限”选项
提供 Azure 信息保护客户端“告知详情”网页的自定义 URL 空白

2017 年 7 月 31 日之前发布的默认策略

请注意,此策略中的说明适用于需要保护的数据,以及数据跟踪和撤消。 该策略未针对这些标签配置此保护,所以必须执行额外步骤来实现此说明内容。 例如,配置标签以应用保护或使用数据丢失防护 (DLP) 解决方案。 必须先通过 Azure Rights Management 服务保护文档,并且由保护文档的人员跟踪文档,才能使用文档跟踪站点跟踪和撤销文档。

标签

标签 工具提示 设置
个人 非业务数据,仅供个人使用。 已启用:开

颜色:浅绿色

视觉标记

条件:无

保护:无
公用 专为公共使用而准备和批准的业务数据。 已启用:开

颜色:绿色

可视标记:关闭

条件:无

保护:无
常规 不公开使用的业务数据。 但是,可根据需要与外部合作伙伴共享该数据。 示例包括公司内部电话簿、组织结构图、内部标准和大部分内部通信。 已启用:开

颜色:蓝色

可视标记:关闭

条件:无

保护:无
机密 与未经授权的人员共享时可导致业务损失的敏感业务数据。 例如合同、安全报告、预测摘要和销售帐户数据。 已启用:开

颜色:橙色

可视标记:关闭

条件:无

保护:无
高度机密 与未经授权的人员共享时会导致业务损失的高度敏感业务数据。 例如员工和客户信息、密码、源代码和预先公布的财务报表。 已启用:开

颜色:红色

可视标记:关闭

条件:无

保护:无

子标签

标签 工具提示 设置
机密\所有员工 需保护的机密数据,所有员工具有完全权限。 数据所有者可跟踪和撤消内容。 已启用:开

可视标记:页脚(文档和电子邮件)

归类为机密

条件:无

保护:无
机密\任何人(不受保护) 无需保护的数据。 使用此选项时需谨慎,并具有选择此选项的合理业务理由。 已启用:开

可视标记:页脚(文档和电子邮件)

分类为机密

条件:无

保护:无
高度机密\所有员工 高度机密数据,所有员工具有查看、编辑和回复此内容的权限。 数据所有者可跟踪和撤消内容。 已启用:开

可视标记:页脚(文档和电子邮件)

归类为高度机密

条件:无

保护:无
高度机密\任何人(不受保护) 无需保护的数据。 使用此选项时需谨慎,并具有选择此选项的合理业务理由。 已启用:开

可视标记:页脚(文档和电子邮件)

归类为高度机密

条件:无

保护:无

信息保护栏

设置
标题 敏感性
工具提示 此内容的当前标签。 此设置的作用是在与组织内外未经授权的人员共享此内容时识别业务风险。

设置

设置 “值”
所有文档和电子邮件都必须自动应用或由用户应用标签
选择默认标签
用户必须提供理由以设置较低分类标签、删除标签或删除保护
对于带有附件的电子邮件,使用与这些附件的最高等级相匹配的标签
提供 Azure 信息保护客户端“告知详情”网页的自定义 URL 空白

2017 年 3 月 21 日之前发布的默认策略

标签

标签 工具提示 设置
个人 仅供个人使用。 此数据将不会受组织监视。 个人信息不能包含任何与企业相关的数据。 已启用:开

颜色:浅绿色

视觉标记

条件:无

保护:无
公用 此信息是内部的,企业内部或外部的所有人均可使用。 已启用:开

颜色:绿色

可视标记:关闭

条件:无

保护:无
内部 此信息包括各种可由所有员工使用并可与授权客户和业务合作伙伴共享的内部业务数据。 有关内部信息的示例包括公司策略和大多数内部通信。 已启用:开

颜色:蓝色

视觉标记:页脚(文档和电子邮件):

敏感级别:内部

条件:无

保护:无
机密 此数据包括敏感业务信息。 向未经授权的用户公开此数据可能会对组织造成损坏。 有关机密信息的示例包括员工信息、各个客户项目或合同和销售帐户数据。 已启用:开

颜色:橙色

视觉标记:页脚(文档和电子邮件):

敏感级别:机密

条件:无

保护:无
机密 此数据包括必须予以保护的高度敏感业务信息。 向未经授权的用户公开秘密数据可能会对组织造成严重损坏。 有关秘密信息的示例包括个人身份信息、客户记录、源代码和预先公布的财务报告。 已启用:开

颜色:红色

视觉标记:页脚(文档和电子邮件):

敏感级别:秘密

条件:无

保护:无

子标签

标签 工具提示 设置
秘密 \ 所有公司 此数据包括敏感业务信息 — 允许所有公司员工使用。 已启用:开

可视标记:关闭

条件:无

保护:无
秘密 \ 我的组 此数据包括敏感业务信息 — 仅允许员工组使用。 已启用:开

可视标记:关闭

条件:无

保护:无

信息保护栏

设置
标题 敏感性
工具提示 信息敏感度包含四个不同级别(公共、内部、机密、秘密),使用户可确定向企业内部或外部未经授权的用户公开信息的风险。

设置

设置 “值”
所有文档和电子邮件都必须自动应用或由用户应用标签
选择默认标签
用户必须提供理由以设置较低分类标签、删除标签或删除保护
提供 Azure 信息保护客户端“告知详情”网页的自定义 URL 空白

后续步骤

有关配置 Azure 信息保护策略的详细信息,请使用配置组织的策略部分中的链接。