针对分类、标记和保护的 AIP 部署路线图

注意

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态

当你希望对数据进行分类、标记和保护时,建议使用以下步骤,为组织准备、实施和管理 Azure 信息保护。

对于任何具有支持订阅的客户,建议使用此路线图。 其他功能包括发现敏感信息以及标记文档和电子邮件来进行分类。

标签还可以应用保护,从而为用户简化此步骤。

部署过程

执行以下步骤:

  1. 确认订阅,分配用户许可证
  2. 准备租户以使用 Azure 信息保护
  3. 配置、部署分类和标记
  4. 准备数据保护
  5. 为数据保护配置标签和设置、应用程序与服务
  6. 使用和监视数据保护解决方案
  7. 根据需要管理租户帐户的保护服务

提示

已在使用 Azure 信息保护提供的保护功能? 可以跳过这些步骤中的许多步骤,重点关注步骤 3 和步骤 5.1

确认订阅,分配用户许可证

确认你的组织具有包含你期望的功能和特性的订阅。 有关详细信息,请参阅 Microsoft 365 安全性与合规性许可指南页。

然后,将该订阅中的许可证分配给组织中的每位用户,这些用户将对文档和电子邮件进行分类、标记和保护。

重要

不要从个人订阅的免费 RMS 手动分配用户许可证,不要使用此许可证来管理组织的 Azure Rights Management 服务。

这些许可证在 Microsoft 365 管理中心显示为“权限管理即席”,当运行 Azure AD PowerShell cmdlet Get-MsolAccountSku 时显示为 RIGHTSMANAGEMENT_ADHOC

有关详细信息,请参阅个人 RMS 和 Azure 信息保护

准备租户以使用 Azure 信息保护

开始使用 Azure 信息保护之前,请确保你在 Microsoft 365 或 Microsoft Entra ID 中具有 AIP 可用于对用户进行身份验证和授权的用户帐户和组。

如有必要,请创建这些帐户和组,或者从本地目录同步这些帐户和组。

有关详细信息,请参阅准备用户和组以便使用 Azure 信息保护

配置、部署分类和标记

执行以下步骤:

  1. 扫描文件(可选,但建议执行)

    部署 Azure 信息保护客户端,然后安装运行扫描程序,以发现你在本地数据存储中的敏感信息。

    扫描程序找到的信息有助于进行类别分类,提供有关所需的标签类型以及需要保护的文件的重要信息。

    扫描程序发现模式不需要任何标签配置或分类,因此适用于部署的这一早期阶段。 还可以与以下部署步骤并行使用此扫描程序配置,直到配置了建议标记或自动标记。

  2. 自定义默认 AIP 策略

    如果还没有分类策略,则使用默认策略作为确定数据所需的标签的基础。 根据需要自定义这些标签以满足需求。

    例如,你可能要采用以下详细信息重新配置标签:

    • 确保标签支持分类决策。
    • 为用户进行手动标记配置策略
    • 编写用户指导来帮助说明应在每个方案中应用的标签。
    • 如果默认策略是使用自动应用保护的标签进行创建,则在测试设置时,可能要临时删除保护设置或禁用标签。

    统一标记客户端的敏感度标签和标记策略在 Microsoft Purview 合规门户进行配置。 有关详细信息,请参阅了解敏感度标签

  3. 为用户部署客户端

    配置了策略后,便可为用户部署 Azure 信息保护客户端。 在选择标签时,提供用户培训和特定说明。

    有关详细信息,请参阅统一标记客户端管理员指南

  4. 引入更高级的配置

    等待用户对文档和电子邮件中的标签更加适应。 准备就绪后,引入高级配置,例如:

    • 应用默认标签
    • 如果用户选择分类级别较低的标签或删除标签,则提示他们提供理由
    • 强制所有文档和电子邮件都具有标签
    • 自定义页眉、页脚或水印
    • 建议标记和自动标记

    有关详细信息,请参阅管理员指南:自定义配置

    提示

    如果将标签配置为自动标记,请在发现模式下再次对本地数据存储运行 Azure 信息保护扫描程序,以匹配策略。

    在发现模式下运行扫描程序会告知哪些标签会应用于文件,这有助于微调标签配置并准备好批量分类和保护文件。

准备数据保护

用户对标记文档和电子邮件适应后,便可为最敏感的数据引入数据保护。

执行以下步骤以准备进行数据保护:

  1. 确定要如何管理租户密钥

    决定你是希望 Microsoft 管理你的租户密钥(默认设置),还是自行生成和管理你的租户密钥(也称为“自带密钥”,简称 BYOK)。

    有关实现附加本地保护的详细信息和选项,请参阅规划和实现 Azure 信息保护租户密钥

  2. 安装适用于 AIP 的 PowerShell

    至少在一台可以访问 Internet 的计算机上安装适用于 AIPService 的 PowerShell 模块。 你可以立即执行此步骤,也可以稍后执行。

    有关详细信息,请参阅安装 AIPService PowerShell 模块

  3. 激活保护

    确保保护服务已激活,以便开始保护文档和电子邮件。 如果要采用多个阶段进行部署,请配置用户加入控制以限制用户应用保护的能力。

    有关详细信息,请参阅激活 Azure 信息保护的保护服务

  4. 考虑使用情况日志记录(可选)

    考虑记录使用情况以监视组织如何使用保护服务。 你可以立即执行此步骤,也可以稍后执行。

    有关详细信息,请参阅记录和分析 Azure 信息保护中的保护服务使用情况

为数据保护配置标签和设置、应用程序与服务

执行以下步骤:

  1. 更新标签以应用保护

    有关详细信息,请参阅通过敏感度标签应用加密,从而限制对内容的访问

    重要

    即使没有为信息权限管理 (IRM) 配置 Exchange,用户也可以在 Outlook 中应用应用了 Rights Management 保护的标签。

    但是,在为 IRM 或具有新功能的 Microsoft 365 邮件加密配置 Exchange 之前,你的组织将无法获得将 Exchange 与 Azure Rights Management 保护配合使用的完整功能。 此附加配置包含在以下列表中(对于 Exchange Online,则为 2;对于 Exchange 本地,则为 5)。

  2. 配置 Office 应用程序和服务

    在 Microsoft SharePoint 或 Exchange Online 中为 Office 应用程序和服务配置信息权限管理 (IRM) 功能。

    有关详细信息,请参阅为 Azure Rights Management 配置应用程序

  3. 为数据恢复配置超级用户功能

    如果现有 IT 服务(例如数据泄漏防护 (DLP) 解决方案、内容加密网关 (CEG) 和反恶意软件产品)需要检查 Azure 信息保护将保护的文件,请将服务帐户配置为 Azure Rights Management 的超级用户。

    有关详细信息,请参阅为 Azure 信息保护和发现服务或数据恢复配置超级用户

  4. 批量分类和保护现有文件

    对于本地数据存储,现在以强制模式运行 Azure 信息保护扫描程序,以便自动标记文件。

    对于电脑上的文件,使用 PowerShell cmdlet 对其进行分类和保护。 有关详细信息,请参阅对 Azure 信息保护统一标记客户端使用 PowerShell

    提示

    虽然批量分类和保护现有文件不是 Defender for Cloud Apps 的主要用例之一,但记录的解决方法可帮助你分类并保护文件。

  5. 在 SharePoint Server 上部署受 IRM 保护的库的连接器,为本地 Exchange 部署受 IRM 保护的电子邮件

    如果具有本地 SharePoint 和 Exchange 并希望使用其信息权限管理 (IRM) 功能,请安装和配置 Rights Management 连接器。

    有关详细信息,请参阅部署 Microsoft Rights Management 连接器

使用和监视数据保护解决方案

你现在可以监视组织如何使用已配置的标签,并确认保护敏感信息。

有关详细信息,请参阅以下页面:

根据需要管理租户帐户的保护服务

开始使用保护服务时,可以利用 PowerShell 帮助编写脚本或自动执行管理更改。 某些高级配置可能还需要使用 PowerShell。

有关详细信息,请参阅使用 PowerShell 管理 Azure 信息保护中的保护服务

后续步骤

部署 Azure 信息保护时,你可能会发现可以通过常见问题解答已知问题以及信息和支持页面来查找更多资源。