Azure 信息保护 (AIP) 的常见问题解答

备注

你是否正在寻找 Microsoft 信息保护 Azure 信息保护统一标记客户端当前处于维护模式。 建议为 Office 365 应用程序启用 Microsoft 信息保护的内置标记功能。 了解详细信息

是否有关于 Azure 信息保护 (AIP) 或 Azure Rights Management (Azure RMS) 的问题?

请查看下面或后续更具体的常见问题解答页面上是否有答案。

Azure 信息保护和 Microsoft Purview 信息保护之间有何不同?

与 Azure 信息保护不同,Microsoft Purview 信息保护不是可以购买的订阅或产品。 相反,它是可帮助你保护组织敏感信息的产品和集成功能的框架。

Microsoft Purview 信息保护产品包括:

  • Azure 信息保护
  • Microsoft 365 信息保护,如 Microsoft 365 DLP
  • Windows 信息保护
  • Microsoft Defender for Cloud Apps

Microsoft Purview 信息保护功能包括:

  • 统一标记管理
  • 内置于 Office 应用中的最终用户标记体验
  • Windows 了解统一标记并对数据应用保护的功能
  • Microsoft 信息保护 SDK
  • Adobe Acrobat Reader 中用于查看已标记且已保护的 PDF 的功能

有关详细信息,请参阅有助于保护敏感数据的信息保护功能

如何确定我的租户是否在统一标记平台上?

当你的租户在统一标记平台上时,它支持可由支持统一标记的客户端和服务使用的敏感度标签。 如果在 2019 年 6 月或之后获取了 Azure 信息保护的订阅,则你的租户会自动在统一标记平台上,无需执行进一步操作。 你的租户还可能在此平台上,因为有人迁移了你的 Azure 信息保护标签。

如果你的租户不在统一标记平台上,则会在 Azure 门户的“Azure 信息保护”窗格上看到以下信息横幅:

迁移信息横幅

还可以通过转到“Azure 信息保护”“管理”“统一标记”进行检查,然后查看“统一标记”状态:

状态 说明
已激活 你的租户在统一标记平台上。
可以从 Microsoft Purview 合规性门户创建、配置和发布标签
未激活 你的租户不在统一标记平台上。
有关迁移说明和指南,请参阅如何将 Azure 信息保护标签迁移到统一敏感度标签

Azure 信息保护和 Azure Rights Management 之间有何不同?

Azure 信息保护 (AIP) 可对组织的文档和电子邮件进行分类、标记和保护。

它使用 Azure Rights Management 服务(现已成为 AIP 的一个组件)保护内容。

有关详细信息,请参阅 AIP 如何保护数据以及 Azure Rights Management 是什么?

Azure 信息保护的身份管理的角色是什么?

用户必须具有有效的用户名和密码才能访问受保护的内容,因此身份管理是 AIP 的重要组件。

要详细了解 Azure 信息保护如何帮助保护数据,请参阅 Azure 信息保护在保护数据方面的角色

需要为 Azure 信息保护准备哪个订阅,以及它包括哪些功能?

若要详细了解 AIP 订阅,请参阅以下文章:

是否必须是全局管理员才能配置 Azure 信息保护?我可以委派给其他管理员吗?

很显然,Microsoft 365 租户或 Azure AD 租户的全局管理员可以运行 Azure 信息保护的所有管理任务。

不过,若要向其他用户分配管理权限,请使用以下角色进行分配:

此外,管理管理任务和角色时,请注意以下问题:

问题 详细信息
支持的帐户类型 不支持 Microsoft 帐户对 Azure 信息保护执行委派管理,即使已向这些帐户分配列出的管理角色之一。
加入控制 如果配置了加入控制,此配置不会影响管理 Azure 信息保护的能力(RMS 连接器除外)。

例如,如果配置了加入控制机制,以致仅允许“IT 部门”组保护内容,那么,用于安装和配置 RMS 连接器的帐户必须是该组的成员。
删除保护 管理员无法自动删除对于受 Azure 信息保护保护的文档或电子邮件的保护。

只有被分配为超级用户的用户可以删除保护,并且只有在已启用超级用户功能的情况下才可以进行删除。

具有对 Azure 信息保护的管理权限的所有用户都可以启用超级用户功能,并可将用户(包括用户自己的帐户)分配为超级用户。

这些操作记录在管理员日志中。

有关详细信息,请参阅为 Azure 信息保护和发现服务或数据恢复配置超级用户中的“最佳安全做法”部分。

提示:如果内容存储在 SharePoint 或 OneDrive 中,则管理员可以运行 Unlock-SensitivityLabelEncryptedFile cmdlet,以删除敏感度标签和加密。 有关详细信息,请参阅 Microsoft 365 文档
迁移到统一标记存储 如果要将 Azure 信息保护标签迁移到统一标记存储,请务必阅读标签迁移文档中的以下部分:
支持统一标记平台的管理角色

Azure 信息保护管理员

此 Azure Active Directory 管理员角色允许管理员配置 Azure 信息保护,但不能配置其他服务。

具有此角色的管理员可以:

若要将用户分配到此管理角色,请参阅将用户分配到 Azure Active Directory 中的管理员角色

注意

当租户在统一标记平台上时,此角色在 Azure 门户中不受支持。

合规性管理员或合规性数据管理员

具有这些 Azure Active Directory 管理员角色时,管理员能够:

  • 配置 Azure 信息保护,包括激活和停用 Azure Rights Management 保护服务
  • 配置保护设置和标签
  • 配置 Azure 信息保护策略
  • 运行针对 Azure 信息保护客户端以及 AIPService 模块中的所有 PowerShell cmdlet。

若要将用户分配到此管理角色,请参阅将用户分配到 Azure Active Directory 中的管理员角色

若要查看具有这些角色的用户还拥有哪些其他权限,请参阅 Azure Active Directory 文档的可用角色部分。

注意

这些角色不支持跟踪和撤销用户的文档。

安全管理员

具有此 Azure Active Directory 管理员角色时,管理员能够在 Azure 门户中配置 Azure 信息保护,并可配置其他 Azure 服务的某些方面。

具有此角色的管理员不能运行任何 AIPService 模块中的 PowerShell cmdlet,也不能跟踪和撤销用户的文档。

若要将用户分配到此管理角色,请参阅将用户分配到 Azure Active Directory 中的管理员角色

若要查看具有此角色的用户还拥有哪些其他权限,请参阅 Azure Active Directory 文档的可用角色部分。

Azure Rights Management 全局管理员和连接器管理员

全局管理员角色使用户能够运行 AIPService 模块中的所有 PowerShell cmdlet,而无需使其成为其他云服务的全局管理员。

连接器管理员角色使用户能够仅运行 Rights Management (RMS) 连接器。

这些管理角色无法授予对管理控制台的权限。 连接器管理员角色也不支持跟踪和撤销用户的文档。

若要分配其中任一管理角色,请使用 AIPService PowerShell cmdlet

Azure 信息保护是否支持本地和混合方案?

是。 尽管 Azure 信息保护是基于云的解决方案,但它可对存储在本地和云中的文档和电子邮件进行分类、标签设置和保护。

如果具有 Exchange Server、SharePoint Server 和 Windows 文件服务器,请使用下面的一种或两种方法:

  • 部署 Rights Management 连接器,以便这些本地服务器可以使用 Azure Rights Management 服务保护电子邮件和文档
  • 将 Active Directory 域控制器与 Azure AD 同步和联合,以便为用户提供更加无缝的身份验证体验。 例如,使用 Azure AD Connect

Azure Rights Management 服务根据需要自动生成并管理 XrML 证书,因此它不使用本地 PKI。

有关 Azure Rights Management 如何使用证书的详细信息,请参阅 Azure RMS 工作演练:首次使用、内容保护、内容使用

Azure 信息保护可以分类和保护哪些类型的数据?

Azure 信息保护可以分类和保护电子邮件和文档,无论它们是位于本地还是云中。 这些文档包括 Word 文档、Excel 电子表格,PowerPoint 演示文稿、PDF 文档、基于文本的文件和图像文件。

有关详细信息,请参阅完整列表:支持的文件类型

注意

Azure 信息保护无法对结构化数据(例如数据库文件、日历项目、Yammer 帖子、Sway 内容和 OneNote 记事本)进行分类和保护。

提示

Power BI 使用敏感度标签支持分类,并且可以将这些标签提供的保护应用于导出到以下文件格式的数据:.pdf、.xls 和 .ppt。 有关详细信息,请参阅 Power BI 中的数据保护

我看到 Azure 信息保护被列为可用于条件访问的云应用 - 工作原理是什么?

是,作为预览版产品/服务,可为 Azure 信息保护配置 Azure AD 条件访问。

当用户打开受 Azure 信息保护保护的文档时,管理员现可基于标准条件访问控制,阻止其租户中用户的访问或授予他们访问权限。 最常见的请求条件之一是需要多重身份验证 (MFA)。 另一常见请求条件是,设备必须遵守 Intune 策略(以便移动设备符合密码要求和最低操作系统版本),并且计算机必须已加入域。

有关详细信息和演练示例,请参阅以下博客文章:Conditional Access policies for Azure Information Protection(Azure 信息保护的条件访问策略)。

其他信息:

主题 详细信息
评估频率 对于 Windows 计算机和当前预览版本,初始化用户环境时会对 Azure 信息保护的条件访问策略进行评估(此过程也称为引导),之后每 30 天评估一次。

若要调整评估条件访问策略的频率,请配置令牌生存期
管理员帐户 建议不要将管理员帐户添加到条件访问策略,因为这些帐户无法访问 Azure 门户中的“Azure 信息保护”窗格。
MFA 和 B2B 协作 如果在条件访问策略中使用 MFA 与其他组织展开协作 (B2B),则必须使用 Azure AD B2B 协作,并为要在其他组织中共享的用户创建来宾帐户。
使用条款提示 由于 Azure AD 2018 年 12 月预览版已发布,现在可以在用户第一次打开受保护文档之前提示用户接受使用条款
云应用 如果针对条件访问使用许多云应用,则列表中可能不会显示“Azure 信息保护”选项,因此无法进行选择。

在这种情况下,可使用列表顶部的搜索框。 开始键入“Azure 信息保护”,筛选可用应用。 如果已有受支持的订阅,则可以看到“Azure 信息保护”选项,可进行选择。

注意

Azure 信息保护对条件访问的支持目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Azure 信息保护是否适用于我所在的国家/地区?

不同国家/地区的要求和法规不同。 要帮助你的组织回答此问题,请参阅针对不同国家/地区的适用性

Azure 信息保护如何帮助你符合 GDPR?

注意

如果对查看或删除个人数据感兴趣,请查看 Microsoft 在 Microsoft 合规性管理器Microsoft 365 企业版合规性站点的 GDPR 部分中的指南。 如果正在寻找有关 GDPR 的一般信息,请参阅服务信任门户的 GDPR 部分

请参阅 Azure 信息保护的合规性和支持信息

如何针对 Azure 信息保护报告问题或发送反馈?

若要获取技术支持,请使用标准支持渠道或联系 Microsoft 支持

我们还邀请你加入我们的工程团队:Azure 信息保护 Yammer 站点

如果这里没有我的问题,我该如何操作?

首先,查看下面列出的特定于分类和标签或特定于数据保护的常见问题解答。 Azure Rights Management 服务 (Azure RMS) 为 Azure 信息保护提供数据保护技术。 Azure RMS 可与分类和标签结合使用,也可单独使用。

如果你的问题未得到解答,请参阅有关 Azure 信息保护的信息和支持中列出的链接和资源。