如何配置标签以进行 Rights Management 保护

适用于:Azure 信息保护

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 对于统一标记客户端,请参阅 Microsoft 365 文档中的了解敏感度标签以及通过使用敏感度标签中的加密限制对内容的访问

注意

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不提供对经典客户端的进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

本文中的内容仅为具有外延支持的客户提供支持。 有关详细信息,请参阅已删除和停用的服务

可通过使用 Rights Management 服务保护最敏感的文档和电子邮件。 此服务使用加密、标识和身份验证策略,有助于防止数据丢失。 保护应用于配置为使用 Rights Management 保护文档和电子邮件的标签,用户还可以在 Outlook 中选择“不可转发”按钮。

当标签配置了“Azure (云密钥)”保护设置,此操作会在后台创建并配置一个保护模板,集成了 Rights Management 模板的服务和应用程序都可以访问该模板。 例如,Exchange Online 和邮件流规则,以及 Outlook 网页版。

保护的工作原理

当文档或电子邮件受 Rights Management 服务保护时,它会在处于静态时和传输过程中进行加密, 而且只能由授权用户进行解密。 文档或电子邮件的这种加密保持不变,即使将其重命名。 此外,可以配置使用权限和限制,如下面的示例:

  • 只有组织中的用户才能打开公司机密文档或电子邮件。

  • 只有市场营销部门的用户才能编辑和打印促销通知文档或电子邮件,而组织中的所有其他用户只能阅读该文档或电子邮件。

  • 用户不能转发包含内部重组相关新闻的电子邮件或从中复制信息。

  • 不能在指定日期后打开发送给业务合作伙伴的当前价目表。

若要深入了解 Azure Rights Management 保护及其工作原理,请参阅什么是 Azure Rights Management?

重要

若要配置标签来应用此保护,必须为组织激活 Azure Rights Management 服务。 有关详细信息,请参阅激活 Azure 信息保护的保护服务

标签应用保护时,受保护的文档不适合保存在 SharePoint 或 OneDrive 中。 对于受保护的文件,这些位置不支持以下内容:共同创作、Office 网页版、搜索、文档预览、缩略图、电子数据展示和数据丢失防护 (DLP)。

提示

当你将标签迁移到统一的敏感度标签,并将其从 Microsoft 365 合规中心发布时,这些位置就会支持那些应用保护的标签。 有关详细信息,请参阅在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签

用户不必事先为 Azure 信息保护配置 Exchange 即可在 Outlook 中应用标签保护其电子邮件。 但是,在为 Azure 信息保护配置 Exchange 之前,你无法获得将 Exchange 与 Azure Rights Management 保护配合使用的完整功能。 例如,用户无法在移动电话上或通过 Outlook 网页版查看受保护的电子邮件,无法将受保护的电子邮件编入索引用于搜索,并且无法为 Rights Management 保护配置 Exchange Online DLP。 若要确保 Exchange 支持这些其他方案,请参阅以下资源:

若要配置保护设置标签

  1. 如果尚未这样做,请打开新的浏览器窗口,登录到 Azure 门户, 然后导航到“Azure 信息保护”窗格。

    例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。

  2. 从“分类”“标签”菜单选项:在“Azure 信息保护 - 标签”窗格上,选择要更改的标签。

  3. 在“标签”窗格上,找到“为包含此标签的文档和电子邮件设置权限”并选择以下选项之一:

    • 未配置:如果标签当前配置为应用保护,而不再需要所选的标签应用保护,请选择此选项。 然后转到步骤 11。

      先前配置的保护设置将保留为存档的保护模板,如果将选项更改回“保护”,则会再次显示。 Azure 门户中不会显示此模板,但如有需要,仍可通过 PowerShell 管理该模板。 这一行为表示,如果内容具有先前应用了保护设置的此标签,则仍可以访问该内容。

      当标签应用“未配置”保护设置时

      • 如果内容之前未使用标签进行保护,则将保留该保护。

      • 如果内容之前使用标签进行保护,如果用户应用的标签有权删除权限管理保护,则将删除该保护。 此要求意味着用户必须具有“导出”或“完全控制”使用权限。 或者,成为权限管理所有者(自动授予完全控制使用权限)或者成为 Azure 权限管理的超级用户

        如果用户没有权限删除保护,则无法应用该标签,并将显示以下消息:“Azure 信息保护无法应用此标签。如果此问题仍然存在,请与管理员联系。”

    • 保护:选择此选项应用保护,然后转到步骤 4。

    • 删除保护:如果文档或电子邮件受到保护,选择此选项可删除保护。 然后转到步骤 11。

      如果使用标签或保护模板应用保护,则保护设置将保留为存档的保护设置,且如果将选项更改回“保护”,则会再次显示。 Azure 门户中不会显示此模板,但如有需要,仍可通过 PowerShell 管理该模板。 这一行为表示,如果内容具有先前应用了保护设置的此标签,则仍可以访问该内容。

      请注意,用户必须具有删除权限管理保护的权限,才能成功应用具有此选项的标签。 此要求意味着用户必须具有“导出”或“完全控制”使用权限。 或者,成为权限管理所有者(自动授予完全控制使用权限)或者成为 Azure 权限管理的超级用户

      如果使用此设置应用标签的用户无权删除 Rights Management 保护,则无法应用该标签,并将显示以下消息:“Azure 信息保护无法应用此标签。如果此问题仍然存在,请与管理员联系。”

  4. 如果提前选中了“保护”,则会在选择其他选项之一时自动打开“保护”窗格。 如果新的窗格未自动打开,请选择“保护”

    Configure protection for an Azure Information Protection label

  5. 在“保护”窗格上,选择“Azure (云密钥)”或“HYOK (AD RMS)”

    大多数情况下,为权限设置选择“Azure (云密钥)”。 请勿选择“HYOK (AD RMS)”,除非已阅读并了解此“自留密钥”(HYOK) 配置随附的先决条件和限制。 有关详细信息,请参阅 AD RMS 保护的自留密钥 (HYOK) 要求和限制。 若要继续配置 HYOK (AD RMS),请转到步骤 9。

  6. 选择以下选项之一:

    • 设置权限:在此门户中定义新的保护设置。

    • “设置用户定义的权限(预览)”:允许用户指定应向其授予权限的人员并指定具体的权限。 然后,可优化此选项并选择仅 Outlook 或 Word、Excel、PowerPoint 和文件资源管理器。 如果为自动分类配置标签,则此选项不受支持且无法使用。

      如果选择 Outlook 选项:标签显示在 Outlook 中,并且用户应用该标签时产生的行为与不转发选项相同。

      如果为 Word、Excel、PowerPoint 和文件资源管理器选择此选项:设置此选项后,标签将显示在这些应用程序中。 用户应用标签时产生的行为是显示对话框,以便用户选择自定义权限。 在此对话框中,用户选择其中一个预定义权限级别,浏览或指定用户或组,并可选择设置到期日期。 确保用户具有关于如何提供这些值的说明和指导。

      注意

      Azure 信息保护支持设置用户定义的权限,该功能目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

    • 选择预定义的模板:使用已配置的一个默认模板或自定义模板。 请注意,如果正在编辑的标签之前曾使用“设置权限”选项,则不会对新标签显示此选项

      若要选择预定义的模板,此模板必须为已发布(未存档),且必须未链接到另一个标签。 选中此选项后,可以使用“编辑模板”按钮将模板转换为标签

  7. 如果为“Azure (云密钥)”选择了“设置权限”,可以使用此选项选择用户和使用权限。

    如果你未选择任何用户并在此窗格中选择了“确定”,然后在“标签”窗格中选择了“保存”,系统会配置标签来应用保护,仅允许应用标签的人员不受限制地打开文档或电子邮件。 有时,此配置称为“只为我执行此操作”,这可能是必需的结果,这样用户便可将文件保存到任何位置,并确保只有他们能够打开它。 如果此结果符合你的要求,并且其他人不需要协作处理受保护内容,请不要选择“添加权限”。 保存标签后,下次打开此“保护”窗格时,会看到“用户”显示“IPC_USER_ID_OWNER”,“权限”显示“共同所有者”以反映此配置

    要指定希望能够打开受保护文档和电子邮件的用户,请选择“添加权限”。 然后,在“添加权限”窗格上,选择有权使用所选标签保护的内容的第一组用户和组:

    • 选择“从列表中选择”,然后,可以在这里通过选择“添加 组织名称 - 所有成员”来添加组织中的所有用户。 此设置不包括来宾帐户。 或者,也可以选择“添加任何身份已验证的用户”或浏览目录。

      选择所有成员或浏览目录时,用户和组必须有电子邮件地址。 在生产环境中,他们几乎都有电子邮件地址,但在简单的测试环境中,可能需要为用户帐户或组添加电子邮件地址。

      详细了解如何添加任何身份已验证的用户

      此设置不限制谁能访问标签保护的内容,同时仍加密内容,并提供限制内容使用方式(权限)和访问方式(到期和脱机访问)的选项。 不过,打开受保护内容的应用程序必须能够支持所使用的身份验证。 鉴于此,Google 等联合社交提供程序以及一次性密码身份验证应仅在你使用 Exchange Online 和 Office 365 邮件加密的新功能时,才只用于电子邮件。 可以将 Microsoft 帐户与 Azure 信息保护查看器和 Office 365 应用(即点即用)结合使用。

      任何经过身份验证的用户设置的一些典型方案:

      • 不介意谁查看内容,但希望限制内容的使用方式。 例如,不希望对内容执行编辑、复制或打印操作。
      • 无需限制谁有权访问内容,但要能够跟踪谁打开和可能撤销了内容。
      • 有要求必须加密内容(无论是静态还是传输中),但无需执行访问控制。
    • 选择“输入详细信息”以手动为单个用户或组(内部或外部)指定电子邮件地址。 或者,使用此选项,通过输入另一个组织的任何域名来指定该组织中的所有用户。 还可以通过输入社交提供程序程序的域名(例,如 gmail.com、hotmail.com 或 outlook.com),将此选项用于这些程序

      注意

      如果在选择用户或组后某个电子邮件地址发生更改,请参阅计划文档中的电子邮件地址发生更改情况下的注意事项部分。

      最佳做法是使用组,而不是使用用户。 此策略可简化配置,且可降低以后更新标签配置并重新保护内容的可能性。 但是,如果对组进行更改则请注意,出于性能原因,Azure Rights Management 将缓存组成员身份

    指定第一组用户和组后,选择要授予这些用户和组的权限。 若要深入了解可选择的权限,请参阅为 Azure 信息保护配置使用权限。 但是,支持此保护的应用程序可能在实现这些权限的方式方面有所不同。 请查阅其文档,并在为用户部署模板之前,对用户使用的应用程序执行自己的测试以检查其行为。

    如有必要,现在可以添加另一组具有使用权限的用户和组。 重复此操作,直到指定所有用户和组及其各自的权限。

    提示

    请考虑添加“另存为,导出 (EXPORT)”自定义权限,并向数据恢复管理员或其他拥有信息恢复职责的人员授予此权限。 如有必要,这些用户可删除要使用此标签或模板保护的文件和电子邮件中的保护。 这种可以在权限级别删除对文档或电子邮件的保护的功能可提供比超级用户功能更精细的控制。

    对于指定的所有用户和组,在“保护”窗格上,立即检查是否想要对以下设置进行任何更改。 请注意,这些设置和权限一样,它们并不适用于 Rights Management 颁发者或 Rights Management 所有者,也不适用于任何已分配的超级用户

    有关保护设置的信息
    设置 详细信息 建议的设置
    文件内容有效期限 定义一个日期或天数,在此期间不应为选定的用户打开受模板保护的文档。 对于电子邮件,由于某些电子邮件客户端使用的缓存机制,并不总是强制执行过期。

    可以指定一个日期,也可以指定对内容应用保护后所经历的天数。

    如果指定日期,它将在当前时区的午夜生效。
    除非内容具有特定的时间限制要求,否则内容永不过期
    允许脱机访问 使用此设置在你的任何安全需求(包括吊销后的访问权限)与所选用户在没有 Internet 连接的情况下是否能够打开受保护的内容之间实现平衡。

    如果你指定内容在没有 Internet 连接的情况下不可用,或者指定内容仅在指定天数内可用,则在到达该阈值时,这些用户必须重新进行身份验证,他们的访问也将被记录。 发生这种情况时,如果用户的凭据不缓存,他们会收到提示,指示登录后才能打开文档或电子邮件。

    除了重新进行身份验证之外,还会重新评估策略和用户组成员身份。 这意味着,如果策略或组成员身份相比用户上一次访问文档或电子邮件时发生变化,则他们可能获得与上一次访问相同内容时不同的访问结果。 如果文档已被撤销,则可能不包含访问权限。
    取决于内容的敏感程度:

    - 在没有 Internet 连接的情况下内容的可用天数 = 7 用于如果与未经授权的人员共享可能导致业务损失的敏感业务数据- = 。 此建议提供灵活性和安全性之间的平衡折中。 例如合同、安全报告、预测摘要和销售帐户数据。

    - 禁止访问如与未经授权人员共享则会导致业务损失的高度敏感的业务数据- 。 此建议优先考虑安全性而不是灵活性,并确保一旦文档被撤销,那么所有授权用户都无法打开文档。 例如员工和客户信息、密码、源代码和预先公布的财务报表。

    完成权限和设置配置后,单击“确定”

    此设置分组为 Azure Rights Management 服务创建一个自定义模板。 这些模板可用于与 Azure Rights Management 集成的应用程序和服务。 有关计算机和服务如何下载并刷新这些模板的信息,请参阅为用户和服务刷新模板

  8. 如果为“Azure (云密钥)”选择了“选择预配模板”,请单击下拉框,然后选择要用于保护包含此标签的文档和电子邮件的模板 看不到已存档的模板或已为另一个标签选择的模板。

    如果选择“部门模板”,或者如果已配置加入控制机制

    • 配置的模板作用域外的用户或从应用 Azure Rights Management 保护中排除的用户仍将看到该标签,但不能应用该标签。 如果他们选择该标签,则会看到以下消息:“Azure 信息保护无法应用此标签。如果此问题仍然存在,请与管理员联系。”

      请注意,将始终显示所有已发布的模板,即使正在配置作用域内策略。 例如,正在为市场营销组配置作用域内策略。 可选择的模板不限于作用域为“营销”组的模板,还可以选择所选用户不能使用的部门模板。 为了方便配置和尽量减少故障排除,请考虑命名部门模板以匹配作用域内策略中的标签。

  9. 如果选择了“HYOK (AD RMS)”,请选择“设置 AD RMS 模板详细信息”或“设置用户定义的权限(预览)”。 然后指定 AD RMS 群集的授权 URL。

    有关指定模板 GUID 和授权 URL 的说明,请参阅查找相关信息以使用 Azure 信息保护标签指定 AD RMS 保护

    “用户定义的权限”选项允许用户指定应向其授予权限的人员并指定具体的权限。 然后,可以优化此选项并选择仅 Outlook(默认)或 Word、Excel、PowerPoint 和文件资源管理器。 如果为自动分类配置标签,则此选项不受支持且无法使用。

    如果选择 Outlook 选项:标签显示在 Outlook 中,并且用户应用该标签时产生的行为与不转发选项相同。

    如果为 Word、Excel、PowerPoint 和文件资源管理器选择此选项:设置此选项后,标签将显示在这些应用程序中。 用户应用标签时产生的行为是显示对话框,以便用户选择自定义权限。 在此对话框中,用户选择其中一个预定义权限级别,浏览或指定用户或组,并可选择设置到期日期。 确保用户具有关于如何提供这些值的说明和指导。

  10. 单击“确定”关闭“保护”窗格,然后“标签”窗格上的“保护”选项中会显示你选择的“用户定义的模板”或模板

  11. 在“标签”窗格上,单击“保存”

  12. 在“Azure 信息保护”窗格上,使用“保护”列确认标签现在显示你所需的保护设置

    • 一个复选标记(若已配置保护)。

    • 一个表示取消的 x 标记(若已将标签配置为删除保护)。

    • 未设置保护时,为空白字段。

单击“保存”时,更改将会自动提供给用户和服务。 不再提供单独发布选项。

示例配置

默认策略的“机密”和“高度机密”标签中的“所有员工”和“仅收件人”子标签提供了一些示例,说明如何配置可应用保护的标签。 也可使用以下示例,帮助配置适用于不同情况的保护。

为以下每个示例在“<标签名称>”窗格上选择“保护”。 如果“保护”窗格不会自动打开,请选择“保护”打开此窗格,以便选择保护配置选项:

Configuing an Azure Information Protection label for protection

示例 1:对发送到 Gmail 帐户的受保护电子邮件应用“不要转发”的标签

此标签仅可用于 Outlook,且适用于 Exchange Online 已配置 Office 365 邮件加密新功能的情况。 当用户需要向使用 Gmail 帐户的人员(或组织外部任何其他电子邮件帐户)发送受保护电子邮件时,指示用户选择此标签。

用户在“收件人”框中键入 Gmail 电子邮件地址。 然后,用户选择此标签,“不要转发”选项自动添加到电子邮件。 结果是收件人无法转发电子邮件、打印电子邮件、从中复制内容,也无法使用“另存为”选项将电子邮件保存到邮箱外。

  1. 在“保护”窗格上,确保选中“Azure (云密钥)” 。

  2. 选择“设置用户定义的权限(预览)”。

  3. 请确保选中以下选项:“在 Outlook 中应用‘不可转发’”。

  4. 如已选中,请清除以下选项:“在 Word、Excel、PowerPoint 和文件资源管理器中提示用户获取自定义权限”。

  5. 单击“保护”窗格上的“确定”,再单击“标签”窗格上的“保存”。

示例 2:将只读权限限制到其他组织中所有用户并且支持即时撤销的标签

此标签适用于共享(只读)非常敏感的文档,这类文档始终需要 Internet 连接才可进行查看。 如果被撤销权限,用户下次打开文档时将无法进行查看。

此标签不适用于电子邮件。

  1. 在“保护”窗格上,确保选中“Azure (云密钥)” 。

  2. 确保选中“设置权限”选项,然后选择“添加权限”。

  3. 在“添加权限”窗格,选择“输入详细信息”

  4. 输入其他组织的域名,例如 fabrikam.com。 然后选择“添加” 。

  5. 在“从预设中选择权限”中,选择“查看器”,然后选择“确定”。

  6. 回到“保护”窗格,为“允许脱机访问设置”选择“从不”

  7. 单击“保护”窗格上的“确定”,再单击“标签”窗格上的“保存”。

示例 3:将外部用户添加到用于保护内容的现有标签

新添加的用户可打开已使用此标签进行保护的文档和电子邮件。 授予这些用户的权限可能与现有用户具有的权限有所不同。

  1. 在“保护”窗格,确保选中“Azure (云密钥)”

  2. 确保选中“设置权限”,然后选择“添加权限”。

  3. 在“添加权限”窗格,选择“输入详细信息”

  4. 输入要添加的第一个用户或组的电子邮件地址,然后选择“添加”。

  5. 为此用户(或组)选择权限。

  6. 为每个要添加此标签的用户(或组)重复步骤 4 和 5。 。

  7. 单击“保护”窗格上的“确定”,再单击“标签”窗格上的“保存”。

示例 4:针对受保护电子邮件并提供限制性低于“不要转发”的权限的标签

此标签不可限制到 Outlook,但可提供限制性低于“不要转发”的控制。 例如,希望收件人能够复制电子邮件或附件,或者保存和编辑附件。

如果指定 Azure AD 中没有帐户的外部用户:

  • 当 Exchange Online 使用 Office 365 邮件加密中的新功能时,此标签适用于电子邮件。

  • 对于自动受保护的 Office 附件,可以在浏览器中查看这些文档。 若要编辑这些文档,请使用 Office 365 应用(即点即用)和使用相同电子邮件地址的 Microsoft 帐户下载和编辑它们。 详细信息

注意

Exchange Online 即将推出新选项 - 仅加密。 此选项不可用于标签配置。 不过,如果知道收件人是谁,可以使用此示例来配置拥有同一组使用权限的标签。

用户在“收件人”框中指定电子邮件地址时,该地址必须与为此标签配置指定的用户地址相同。 因为用户可能属于组并且拥有多个电子邮件地址,所以他们指定的电子邮件地址不必与针对权限指定的电子邮件地址完全匹配, 虽然这是确保成功对收件人授权的最简单方法。 若要详细了解如何向用户授予权限,请参阅准备用户和组以便使用 Azure 信息保护

  1. 在“保护”窗格上,确保选中“Azure (云密钥)” 。

  2. 确保选中“设置权限”,然后选择“添加权限”。

  3. 在“添加权限”窗格上:若要向组织中的用户授予权限,请通过选择“添加 组织名称 - 所有成员”来选择你的租户中的所有用户。 此设置不包括来宾帐户。 或者,选择“浏览目录”以选择特定组。 若要向外部用户授予权限或者键入电子邮件地址,请选择“输入详细信息”,然后键入用户或 Azure AD 组的电子邮件地址或键入域名

    重复此步骤,指定其他应具有相同权限的用户。

  4. 对于“从预设中选择权限”,可选择“共有者”、“合著者”、“审阅者”或“自定义”,以选择希望授予的权限。

    注意:请勿对电子邮件选择“查看器”,并且如果选择“自定义”,请确保包括“编辑和保存”。

    若要选择与 Exchange Online 中的“加密”选项相同的权限,即在不施加其他限制的情况下应用加密,请选择“自定义”。 然后选择“另存为,导出(导出)”和“完全控制(所有者)”之外的所有权限

  5. 若要指定其他应具有不同权限的用户,请重复步骤 3 和 4。

  6. 在“添加权限”窗格上单击“确定”

  7. 单击“保护”窗格上的“确定”,再单击“标签”窗格上的“保存”。

示例 5:加密内容但不限制谁能访问内容的标签

此配置的优势在于,无需指定用户、组或域来保护电子邮件或文档。 仍可以加密内容,并指定使用权限、到期日期和脱机访问。 仅当无需限制谁能打开受保护文档或电子邮件时,才使用此配置。 详细了解此设置

  1. 在“保护”窗格,确保选中“Azure (云密钥)”

  2. 请务必依次选择“设置权限”和“添加权限”

  3. 在“添加权限”窗格上的“从列表中选择”选项卡中,选择“添加任何身份已验证的用户”

  4. 选择相应权限,再单击“确定”

  5. 如有需要,返回到“保护”窗格,配置“文件内容有效期限”和“允许脱机访问”设置,再单击“确定”

  6. 在“标签”窗格上,选择“保存”

示例 6:应用“仅限我”保护的标签

此配置为文档提供与安全协作相对的方式:除了超级用户之外,只有应用标签的人员才能不受任何限制地打开受保护的内容。 此配置通常被称为“只为我执行”保护,适用于用户想要将文件保存到任何位置并确保只有他们可以打开它的情况。

标签配置看似简单:

  1. 在“保护”窗格,确保选中“Azure (云密钥)”

  2. 选择“确定”,而不选择任何用户,或在此窗格上配置任何设置

    虽然可以配置“文件内容过期”和“允许脱机访问”的设置,但如果未指定用户及其权限,则这些访问设置不适用。 这是因为应用保护的人是内容的 Rights Management 颁发方,这个角色没有这些访问限制。

  3. 在“标签”窗格上,选择“保存”

后续步骤

有关配置 Azure 信息保护策略的详细信息,请使用配置组织的策略部分中的链接。

Exchange 邮件流规则还能根据标签应用保护。 有关详细信息和示例,请参阅配置 Azure 信息保护标签的 Exchange Online 邮件流规则