如何为 Azure 信息保护配置策略设置

  • 项目

适用于:Azure 信息保护

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 有关统一标记客户端,请参阅 Microsoft 365 文档中的了解敏感度标签

注意

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不提供对经典客户端的进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

本文中的内容仅为具有外延支持的客户提供支持。 有关详细信息,请参阅已删除和停用的服务

除了信息保护栏标题和工具提示,Azure 信息保护策略中还有一些可以在标签中单独配置的设置:

Azure Information Protection policy global settings

请注意,策略设置的默认值可能不同,具体取决于购买 Azure 信息保护订阅的时间。 还可以使用自定义客户端设置进行某些设置。

配置更新策略设置

  1. 如果尚未这样做,请打开新的浏览器窗口,登录到 Azure 门户, 然后导航到“Azure 信息保护”窗格。

    例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。

  2. 从“分类”“策略”菜单选项:在“Azure 信息保护 - 策略”窗格上,如果要配置的设置将应用于所有用户,请选择“全局”。

    如果要配置的设置位于作用域内策略中,为了使其仅应用于所选用户,请改为选择你的作用域内策略。

  3. 在“策略”窗格上,配置以下设置:

    • 选择默认标签:当设置此选项时,选择标签以分配给没有标签的文档和电子邮件。 如果具有子标签,则不能将标签设置为默认标签。

      此设置适用于 Office 应用和扫描程序。 不适用于文件资源管理器或 PowerShell。

    • 将审核数据发送到 Azure 信息保护分析:在为 Azure 信息分析创建 Azure Log Analytics 工作区之前,此设置的值将显示“关闭”和“未配置” 。 创建工作区时,值将更改为“关闭”和“打开”

      设置为“打开”时,支持集中报告的客户端会将数据发送到 Azure 信息保护服务。 此信息包括应用了哪些标签以及用户何时选择分类级别较低的标签或删除标签。 若要详细了解发送和存储的信息,请参阅中心报告文档中的收集并发送到 Log Analytics 的信息部分。 将此策略设置设置为“关闭”以防止发送此数据。

    • 所有文档和电子邮件都必须有标签:此选项设置为“打开”时,所有已保存的文档和发送的电子邮件都必须应用标签。 标记可能由用户手动分配,或因条件自动分配,或(通过设置“选择默认标签”选项)默认分配。

      如果在用户保存文档或发送电子邮件时未分配标签,系统会提示用户选择一个标签。 例如:

      Azure Information Protection prompt if labeling is enforced

      使用带有 RemoveLabel 参数的 Set-AIPFileLabel PowerShell cmdlet 删除标签时,此选项不适用

    • 用户必须提供理由以设置较低分类标签、删除标签或删除保护:此选项设置为“开”时,如果用户执行下列任一操作(例如,将“公共”标签更改为“个人”),则系统会提示用户提供此操作的理由。 例如,用户可能会解释该文档不再包含敏感信息。 操作和相应的理由会记录在其本地 Windows 事件日志中:“应用程序和服务日志”“Azure 信息保护”。

      Azure Information Protection prompt if new classification is lower

      此选项不适用于降低同一父标签下子标签的分类。

    • 对于带有附件的电子邮件,使用与这些附件的最高等级相匹配的标签:将此选项设置为“推荐”时,系统会提示用户将标签应用到其电子邮件中。 将基于应用于附件的分类标签动态选择标签,并选择最高等级的标签。 附件必须是实际文件,而不能是文件的链接(例如,Microsoft SharePoint 或 OneDrive 中的文件的链接)。 用户可接受或忽略该建议。 将此选项设置为“自动”时,将自动应用该标签,但用户可以在发送电子邮件之前删除该标签或选择另一个标签。

      要在使用此策略设置时考虑子标签的排序,必须配置高级客户端设置

      当分类标签级别最高的附件配置为使用用户定义权限的预览设置进行保护时:如果标签的用户定义权限包括 Outlook(不转发),则将应用该标签,并将“不转发”保护应用于电子邮件。 当标签的用户定义权限仅适用于 Word、Excel、PowerPoint 和文件资源管理器时,该标签不会应用于电子邮件,也不会受到保护。

    • 在 Office 应用中显示信息保护栏:关闭此设置后,用户无法在 Word、Excel、PowerPoint 和 Outlook 中从信息保护栏选择标签。 在此情况下,用户必须通过功能区上的“保护”按钮选择标签。 打开此设置后,用户可以通过信息保护栏或“保护”按钮选择标签。

      打开此设置后,可以将其与高级客户端设置配合使用,因此如果用户选择不显示该栏,可以永久隐藏 Azure 信息保护栏。 从“保护”按钮清除“显示信息保护栏”选项,即可实现此操作

    • 向 Outlook 功能区添加“不转发”按钮:打开此设置后,除了从 Outlook 菜单中选择“不转发”按钮之外,用户也可以从 Outlook 功能区上的“保护”组中选择此按钮。 若要帮助确保用户对其电子邮件进行分类和保护,可以首选不添加此按钮,并改为配置用于保护的标签和 Outlook 的用户定义权限。 此保护设置的功能与选择“不转发”按钮相同,但当此功能附带标签时,意味着对电子邮件进行了分类和保护

      也可以使用高级客户端设置将此策略设置配置为客户端自定义

    • 让自定义权限选项可供用户使用:启用此设置后,用户会看到用于自行设定保护设置的选项,这些设置能够替代标签配置可能自带的任何保护设置。 用户还能看到一个用于删除保护的选项。 关闭此设置后,用户不再看到这些选项。

      请注意,此策略设置对用户可以通过 Office 菜单选项配置的自定义权限没有任何影响。 但是,也可以使用高级客户端设置将其配置为客户端自定义

      自定义权限选项位于以下位置:

      • 在 Office 应用程序中:从功能区中,依次选择“主页”选项卡>“保护”组>“保护”>“自定义权限

      • 在文件资源管理器中:右键单击>“>”>“>”

    • 为 Azure 信息保护客户端“告诉我更多”网页提供自定义 URL:当用户在其 Office 应用程序中从“主页”选项卡选择“保护”>“帮助和反馈”时,将在“帮助和反馈”部分的“Microsoft Azure 信息保护”对话框中看到此链接。 默认情况下,此链接将转到 Azure 信息保护网站。 如果希望此链接转到备选网页,可输入 HTTP 或 HTTPS(推荐)URL。 不进行检查来验证输入的自定义 URL 是否可供访问或是否可在所有设备上正确显示。

      例如,支持人员可能会进入包含客户端安装和使用相关信息 (https://docs.microsoft.com/information-protection/rms-client/info-protect-client) 或 发行版本信息 (https://docs.microsoft.com/information-protection/rms-client/client-version-release-history) 的 Microsoft 文档页。 另外,可以发布自己的网页,提供供用户联系支持人员的信息,或提供指导用户如何使用已配置标签的视频。

  4. 若要保存所做的更改并将它们提供给用户,请单击“保存”

单击“保存”时,更改将会自动提供给用户和服务。 不再提供单独发布选项。

后续步骤

若要查看其中某些策略设置如何协同工作,请尝试学习配置协同工作的 Azure 信息保护策略设置教程。

有关配置 Azure 信息保护策略的详细信息,请使用配置组织的策略部分中的链接。