如何将 Azure 信息保护标签迁移到统一敏感度标签
将 Azure 信息保护标签迁移到统一标记平台,以便可以通过支持统一标记的客户端和服务将这些标签用作敏感度标签。
注意
如果你的 Azure 信息保护订阅非常新,则可能无需迁移标签,因为你的租户已在统一标记平台上。
迁移标签后,你将看不到与 Azure 信息保护经典客户端之间的任何差异,因为此客户端将继续从 Azure 门户下载标签和 Azure 信息保护策略。 但是,现在可以在 Azure 信息保护统一标记客户端以及其他使用敏感度标签的客户端和服务中使用这些标签。
在阅读有关迁移标签的说明之前,你可能会发现以下常见问题很有用:
支持统一标记平台的管理角色
如果你要在组织中使用管理员角色进行委托式管理,可能需要对统一标记平台进行一些更改:
统一标记平台不支持“Azure 信息保护管理员”(以前称为“信息保护管理员”这一 Microsoft Entra 角色。 如果在组织中使用此管理角色来管理 Azure 信息保护,请将具有此角色的用户添加到“合规性管理员”、“合规性数据管理员”或“安全管理员”Microsoft Entra 角色。 如需有关此步骤的帮助,请参阅向用户授予对 Microsoft Purview 合规性门户的访问权限。 还可以在 Microsoft Entra 管理中心和 Microsoft Purview 合规性门户中分配这些角色。
在 Microsoft Purview 合规性门户中,除了使用角色之外,你还可以为这些用户创建新的角色组,并向此组中添加“敏感度标签管理员”或“组织配置”角色。
如果未使用这些配置之一向这些用户授予对 Microsoft Purview 合规性门户的访问权限,则在迁移你的标签后,他们将无法在 Azure 门户中配置 Azure 信息保护。
迁移你的标签后,租户的全局管理员可以继续在 Azure 门户和 Microsoft Purview 合规性门户管理标签和策略。
准备阶段
标签迁移能够带来很多好处,但此操作是不可逆的。 在迁移之前,请确保了解以下更改和注意事项:
- 客户端对统一标记的支持
- 策略配置
- 保护模板
- 显示名称
- 标签中的本地化字符串
- 在 Microsoft Purview 合规性门户中编辑已迁移的标签
- Microsoft Purview 合规性门户不支持的标签设置
- 比较标签保护设置的行为
客户端对统一标记的支持
确保使用支持统一标记的客户端,必要时准备好在 Azure 门户(适用于不支持统一标记的客户端)和 Microsoft Purview 合规性门户(适用于支持统一标记的客户端)进行管理。
策略配置
不会迁移策略,包括策略设置和谁有权访问策略(作用域内策略)以及所有高级客户端设置。 迁移标签后用于配置这些设置的选项包括:
- Microsoft Purview 合规性门户
- 安全与合规 PowerShell(只能使用它来配置高级客户端设置)。
重要
并非已迁移标签中的所有设置都受 Microsoft Purview 合规性门户的支持。 使用 Microsoft Purview 合规性门户不支持的标签设置部分的表来帮助你识别这些设置和建议的操作过程。
保护模板
使用基于云的密钥和为标签配置的一部分模板也随标签一同迁移。 不迁移其他保护模板。
如果你的标签已针对预定义的模板进行了配置,请编辑这些标签,并选择“设置权限”选项,配置模板中具有的相同保护设置。 具有预定义模板的标签不会阻止标签迁移,但 Microsoft Purview 合规性门户不支持此标签配置。
提示
为了帮助你重新配置这些标签,我们提供了两个有用的浏览器窗口:在其中一个窗口中,可以选择与标签对应的“编辑模板”按钮来查看保护设置;在另一个窗口中,可以在选择“设置权限”时配置相同的设置。
迁移带有基于云的保护设置的标签后,最终的保护模板范围是在 Azure 门户中定义的范围(或使用 AIPService PowerShell 模块定义的范围),以及在 Microsoft Purview 合规性门户定义的范围。
显示名称
对于每个标签,Azure 门户仅显示可编辑的标签显示名称。 用户将在其应用中看到此标签名称。
Microsoft Purview 合规性门户显示标签的此显示名称,以及标签名称。 标签名称是在首次创建标签时指定的初始名称,此属性由后端服务用于标识目的。 迁移标签时,显示名称将保持不变,而标签名称将重命名为 Azure 门户中的标签 ID。
有冲突的显示名称
在迁移之前,请确保在迁移完成后不会出现有冲突的显示名称。 位于标记层次结构中同一位置的显示名称必须唯一。
例如,请考虑以下标签列表:
- Public
- 常规
- 机密
- Confidential\HR
- Confidential\Finance
- 机密
- Secret\HR
- Secret\Finance
在此列表中,Public、General、Confidential 和 Secret 都是父标签,它们的名称不能重复。 此外,Confidential\HR 和 Confidential\Finance 位于层次结构中的同一位置,其名称也不能重复。
但是,不同父级中的子标签(例如 Confidential\HR 和 Secret\HR)不在层次结构中的同一位置,因此它们各自的名称可以相同。
标签中的本地化字符串
不迁移标签的任何本地化字符串。 使用安全与合规 PowerShell 以及 Set-Label 的 LocaleSettings 参数,为迁移的标签定义新的本地化字符串。
在 Microsoft Purview 合规性门户中编辑已迁移的标签
迁移之后,当你在 Azure 门户中编辑已迁移的标签时,相同的更改会自动反映在 Microsoft Purview 合规性门户中。
但是,在 Microsoft Purview 合规性门户中编辑迁移的标签时,必须返回到 Azure 门户的“Azure 信息保护 - 统一标记”窗格,然后选择“发布”。
需要对 Azure 信息保护客户端(经典)执行此额外操作才能拾取标签更改。
Microsoft Purview 合规性门户不支持的标签设置
使用下表识别迁移的标签的哪些配置设置不受 Microsoft Purview 合规性门户的支持。 如果你有使用这些设置的标签,请在迁移完成后,在 Microsoft Purview 合规性门户中发布标签前使用最后一列中的管理指导。
如果不确定如何配置标签,请在 Azure 门户中查看其设置。 如果需要有关此步骤的帮助,请参阅配置 Azure 信息保护策略。
Azure 信息保护客户端(经典)可以正常使用列出的所有标签设置,因为这些客户端会继续从 Azure 门户下载标签。
标签配置 | 受统一标记客户端的支持 | Microsoft Purview 合规性门户指导 |
---|---|---|
启用或禁用状态 此状态不会同步到 Microsoft Purview 合规性门户 |
不适用 | 等效于是否发布标签。 |
从列表中选择的标签颜色或使用 RGB 代码指定的标签颜色 | 是 | 标签颜色没有配置选项。 可以改为在 Azure 门户中配置标签颜色,或使用 PowerShell。 |
使用预定义模板的基于云的保护或基于 HYOK 的保护 | 否 | 预定义模板没有配置选项。 我们不建议使用此配置发布标签。 |
使用 Word、Excel 和 PowerPoint 的用户定义权限的基于云的保护 | 是 | Microsoft Purview 合规性门户支持一个针对用户定义的权限的配置选项。 如果发布带有此配置的标签,请查看下表中应用标签后的结果。 |
使用 Outlook 中用户定义的权限(“不要转发”)实现基于 HYOK 的保护 | 否 | HYOK 没有配置选项。 我们不建议使用此配置发布标签。 否则,请在下表中查看应用此标签所带来的后果。 |
通过视觉标记(页眉、页脚、水印)的 RGB 代码提供自定义字体名称、大小和自定义字体颜色 | 是 | 视觉标记的配置限制为颜色和字体大小列表。 你可以在不做更改的情况下发布此标签,不过无法在 Microsoft Purview 合规性门户中查看所配置的值。 若要更改这些选项,请使用 New-Label Office 365 安全与合规中心 cmdlet。 为了更方便地进行管理,请考虑将颜色更改为 Microsoft Purview 合规性门户列出的选项之一。 注意:Microsoft Purview 合规性门户支持一系列预定义的字体定义。 仅支持通过 New-Label cmdlet 使用自定义字体和颜色。 如果使用的是经典客户端,请在 Azure 门户中对标签做出这些更改。 |
视觉标记(页眉、页脚)中的变量 | 是 | AIP 客户端和 Office 内置标记支持对某些应用使用此标签配置。 如果在不支持此配置的应用中使用内置标记,并在不经过更改的情况下发布此标签,则变量将在客户端中显示为文本,而不是显示动态值。 有关详细信息,请参阅 Microsoft 365 文档。 |
每个应用的视觉标记 | 是 | 此标签配置仅受 AIP 客户端的支持,而不受 Office 内置标记的支持。 如果你正在使用内置标记,并在不经过更改的情况下发布此标签,则视觉标记配置将在每个应用中显示为变量文本,而不是显示为已配置为要显示的视觉标记。 |
“仅限我”保护 | 是 | 在未指定任何用户的情况下,Microsoft Purview 合规性门户不允许保存你目前应用的加密设置。 在 Azure 门户中,此配置会生成一个应用“仅限我”保护的标签。 作为替代方法,请创建一个应用加密的标签,并指定一个拥有任何权限的用户,然后使用 PowerShell 编辑关联的保护模板。 先使用 New-AipServiceRightsDefinition cmdlet(参阅示例 3),然后使用带 RightsDefinitions 参数的 Set-AipServiceTemplateProperty。 |
条件和关联设置 包括自动和建议标签及其工具提示 |
不适用 | 若要重新配置条件,请将自动标记用作标签设置中的独立配置。 |
比较标签保护设置的行为
使用下表来确定标签的同一保护设置如何表现出不同的行为,这些行为取决于使用标签的是 Azure 信息保护经典客户端、Azure 信息保护统一标记客户端,还是内置有标记功能(也称为“本机 Office 标记”)的 Office 应用。 标签行为的差异可能会改变你在是否发布标签方面所做的决定,尤其是在组织中混合使用不同的客户端时。
如果不确定如何配置保护设置,请在 Azure 门户的“保护”窗格中查看其设置。 如果需要有关此步骤的帮助,请参阅配置保护设置标签。
下表未列出具有相同行为的保护设置,以下情形例外:
- 使用具有内置标签的 Office 应用时,除非还安装了 Azure 信息保护统一标签客户端,否则标签在文件资源管理器中不可见。
- 使用具有内置标签的 Office 应用时,如果之前在未使用标签的情况下实施了保护,则保留保护 [1]。
标签的保护设置 | Azure 信息保护经典客户端 | Azure 信息保护统一标识客户端 | 具有内置标签的 Office 应用 |
---|---|---|---|
带有模板的 HYOK (AD RMS): | 可在 Word、Excel、PowerPoint、Outlook 和文件资源管理器中查看 应用此标签时: - 对文档和电子邮件应用 HYOK 保护 |
在 Word、Excel、PowerPoint、Outlook 和文件资源管理器中可见 应用此标签时: - 未应用任何保护,删除保护 [2] 如果以前由标签应用保护 - 如果之前在未使用标签的情况下实施了保护,则保留保护 |
在 Word、Excel、PowerPoint 和 Outlook 中可见 应用此标签时: - 未应用任何保护,删除保护 [2] 如果以前由标签应用 - 如果之前在未使用标签的情况下实施了保护,则保留保护 [1] |
HYOK (AD RMS),其中用户定义的权限适用于 Word、Excel、PowerPoint 和文件资源管理器: | 可在 Word、Excel、PowerPoint 和文件资源管理器中查看 当应用此标签时: - 对文档和电子邮件应用 HYOK 保护 |
在 Word、Excel 和 PowerPoint 中可见 应用此标签时: - 未应用保护,删除保护 [2] 如果以前由标签应用 - 如果之前在未使用标签的情况下实施了保护,则保留保护 |
在 Word、Excel 和 PowerPoint 中可见 应用此标签时: - 未应用保护,删除保护 [2] 如果以前由标签应用 - 如果之前在未使用标签的情况下实施了保护,则保留保护 |
HYOK (AD RMS),其中用户定义的权限适用于 Outlook: | 可在 Outlook 中查看 当应用此标签时: - 通过 HYOK 保护向电子邮件应用“请勿转发”规则 |
可在 Outlook 中查看 当应用此标签时: - 未应用保护且删除 [2] 如果以前由标签应用 - 如果之前在未使用标签的情况下实施了保护,则保留保护 |
可在 Outlook 中查看 当应用此标签时: - 未应用保护且删除 [2] 如果以前由标签应用 - 如果之前在未使用标签的情况下实施了保护,则保留保护 [1] |
脚注 1
在 Outlook 中会保留保护,但有一种例外情况:当已使用“仅加密”选项(“加密”)保护电子邮件时,会删除这种保护。
脚注 2
如果用户具有支持此操作的使用权限或角色,则去掉保护:
- 使用权限 - 导出或完全控制。
- 权限管理颁发者/权限管理所有者角色或者超级用户。
如果用户没有上述任一使用权限或角色,则不应用标签且保留原始保护。
若要迁移 Azure 信息保护标签
请参考以下说明来迁移租户和 Azure 信息保护标签,以使用统一标记存储。
只有“合规性管理员”、“合规性数据管理员”、“安全管理员”或“全局管理员”才能迁移你的标签。
如果尚未这样做,请打开新的浏览器窗口,登录到 Azure 门户, 然后导航到“Azure 信息保护”窗格。
例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。
在“管理”菜单选项中,选择“统一标签” 。
在“Azure 信息保护 - 统一标记”窗格中,选择“激活”并按照联机说明操作。
如果用于激活的选项不可用,请检查“统一标记状态”:如果看到“已激活”,则表示租户已在使用统一标记存储,因此无需迁移标签。
成功迁移的标签现在可被支持统一标签的客户端和服务使用。 但是,必须先在 Microsoft Purview 合规性门户中发布这些标签。
重要
如果在 Azure 门户外部编辑 Azure 信息保护客户端(经典)的标签,请返回到此“Azure 信息保护 - 统一标记”窗格,然后选择“发布”。
复制策略
迁移标签后,可以选择用于复制策略的选项。 如果你选择此选项,则会向 Microsoft Purview 合规性门户发送策略的一次性副本,其中包含策略设置和任何高级客户端设置。
然后,已成功复制的策略及其设置和标签将自动发布到已在 Azure 门户中分配给这些策略的用户和组。 请注意,对于“全局”策略,这意味着会发布到所有用户。 如果你尚未准备好发布复制的策略中的已迁移标签,复制策略后,可以在管理员标记中心删除标签策略中的标签。
在“Azure 信息保护 - 统一标记”窗格中选择“复制策略(预览版)”选项之前,请注意以下事项:
只有在为租户激活统一标记之后,“复制策略(预览版)”选项才可用。
无法有选择地选择要复制的策略和设置。 系统会自动选择复制所有策略(“全局”策略和所有作用域内策略),并且会复制支持用作标签策略设置的所有设置。 如果已有一个同名的标签策略,将使用 Azure 门户中的策略设置来覆盖该策略。
不会复制某些高级客户端设置,因为对于 Azure 信息保护统一标记客户端而言,支持将这些设置用作标签高级设置,而不支持用作策略设置。 可以使用安全与合规 PowerShell 配置这些标签高级设置。 不会复制的高级客户端设置:
与同步后续对标签所做的更改的标签迁移方案不同,“复制策略”操作不会同步后续对策略或策略设置所做的任何更改。 进行更改后,可以在 Azure 门户中重复复制策略操作,此时会再次覆盖所有现有策略及其设置。 或者,在安全与合规 PowerShell 中结合 AdvancedSettings 参数使用 Set-LabelPolicy 或 Set-Label cmdlet。
“复制策略”操作在复制每个策略之前,会验证该策略的以下各项:
分配到该策略的用户和组当前在 Microsoft Entra ID 中。 如果缺少一个或多个帐户,则不复制该策略。 不会检查组成员身份。
“全局”策略至少包含一个标签。 由于管理员标记中心不支持不带有标签的标签策略,因此不会复制不带有标签的“全局”策略。
如果复制了策略,然后将其从管理员标记中心删除,请在再次使用“复制策略”操作之前至少等待两小时,以确保有足够的时间来复制删除的内容。
从 Azure 信息保护复制的策略不使用相同的名称,而是改用带有 AIP_ 前缀的名称。 以后无法更改策略名称。
有关为 Azure 信息保护统一标记客户端配置策略设置、高级客户端设置和标签设置的详细信息,请参阅管理员指南中的 Azure 信息保护统一标记客户端的自定义配置。
注意
Azure 信息保护对复制策略的支持目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
支持统一标签的客户端和服务
若要确认使用的客户端和服务是否支持统一标记,请参阅其文档,以确认它们是否可以使用从 Microsoft Purview 合规性门户发布的敏感度标签。
当前支持统一标记的客户端包括
Office 中处于不同可用性阶段的应用
有关详细信息,请参阅 Microsoft 365 合规中心文档中的对应用中敏感度标签功能的支持。
来自软件供应商和开发商的使用 Microsoft 信息保护 SDK 的应用。
当前支持统一标记的服务包括
Web 上的 Office Online 和 Outlook
有关详细信息,请参阅在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签。
Microsoft SharePoint、OneDrive for work or school、OneDrive for home、Teams 和 Microsoft 365 组
有关详细信息,请参阅使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容。
Microsoft Defender for Cloud Apps
此服务使用以下逻辑支持迁移到统一标签存储之前及之后的标签:
如果 Microsoft Purview 合规性门户包含敏感度标签,则会从 Microsoft Purview 合规性门户检索这些标签。 若要在 Microsoft Defender for Cloud Apps 中选择这些标签,必须向至少一个用户发布至少一个标签。
如果 Microsoft Purview 合规性门户中没有敏感度标签,则会从 Azure 门户检索 Azure 信息保护标签。
来自软件供应商和开发商的使用 Microsoft 信息保护 SDK 的服务。
迁移标签后使用的管理门户
迁移 Azure 门户中的标签后,可继续从以下任一位置管理这些标签,具体取决于所安装的客户端:
客户端 | 说明 |
---|---|
仅统一标记客户端和服务 | 若仅安装了统一标记客户端,请在 Microsoft Purview 合规性门户管理标签,统一标记客户端可在其中下载标签以及策略设置。 有关说明,请参阅创建和配置敏感度标签及其策略。 |
仅经典客户端 | 如果已迁移标签,但仍安装有经典客户端,请继续使用 Azure 门户编辑标签和策略设置。 经典客户端继续从 Azure 下载标签和策略设置。 |
AIP 经典客户端和统一标记客户端 | 如果同时安装了这两个客户端,请使用 Microsoft Purview 合规性门户或 Azure 门户来更改标签。 要使经典客户端接收 Microsoft Purview 合规性门户所做的标签更改,请返回到 Azure 门户发布这些更改。 在“Azure 门户>Azure 信息保护-统一标记”窗格中,选择“发布”。 继续使用 Azure 门户进行集中报告和扫描程序。 |
后续步骤
客户体验团队提供的指导和提示:
- 博客文章:Understanding Unified Labeling Migration(了解统一标记迁移)
关于敏感度标签:
部署 AIP 统一标记客户端:
如果尚未这样做,请安装 Azure 信息保护统一标记客户端。
有关详细信息,请参阅: