教程:配置 Azure 信息保护策略设置并创建新标签
适用于:Azure 信息保护
注意
为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不提供对经典客户端的进一步支持,也不再发布维护版本。
- 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
- 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。
本文中的内容仅为具有外延支持的客户提供支持。 有关详细信息,请参阅已删除和停用的服务。
若要部署 AIP 经典客户端,请提交支持票证以获取下载访问权限。
提示
如果对经典客户端使用了不同的标签客户端,请参阅 Microsoft 365 符合性文档,了解本教程的等效说明。
在本教程中,你将了解如何:
- 配置策略设置
- 创建新标签
- 配置视觉标记、建议分类和保护的标签
- 在实际操作中查看设置和标签
完成此配置后,用户在创建新文档或电子邮件时会看到应用的默认标签。 但是,当检测到信用卡信息时,系统会提示用户应用新标签。 应用新标签时,内容将重新分类并受到保护,还会带有相应的页脚和水印。
完成本教程需要 15 分钟。
必备条件
若要完成本教程,你需要:
包含 Azure 信息保护计划 2 的订阅。
如果没有包含 Azure 信息保护计划 2 的订阅,可为组织创建一个帐户。
“Azure 信息保护”窗格已添加到 Azure 门户,保护服务已激活,并在 Azure 信息保护全局策略中发布了一个或多个标签。
有关这些步骤,请参阅快速入门:将 Azure 信息保护添加到 Azure 门户和查看策略。
Azure 信息保护经典客户端安装在 Windows 计算机上(最低版本为 Windows 7 Service Pack 1)。
你已从下列类别之一登录到 Office 应用:
Office 应用,对于各更新通道中受支持的 Microsoft 365 应用版本表中列出的版本,从 Microsoft 365 商业应用版或 Microsoft 365 商业高级版,前提是已为用户分配了 Azure Rights Management(亦称为“适用于 Microsoft 365 的 Azure 信息保护”)许可证
Microsoft 365 企业应用版
Office 专业增强版 2019。
Office Professional Plus 2016。
Office Professional Plus 2013 Service Pack 1。
Office Professional Plus 2010 Service Pack 2。
提示
有关使用 Azure 信息保护的先决条件的完整列表,请参阅 Azure 信息保护的要求。
让我们开始吧。 继续编辑 Azure 信息保护策略。
编辑 Azure 信息保护策略
使用 Azure 门户,首先更改几项策略设置,然后创建一个新标签。
编辑策略设置
注意
由世纪互联运营的 Microsoft Azure 门户当前不支持 Azure 信息保护。 可以使用 Azure 信息保护 PowerShell 命令实现相同的功能。
打开新的浏览器窗口,以全局管理员身份登录到 Azure 门户。然后导航到“Azure 信息保护”。
例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。
如果你不是全局管理员,请使用以下链接获取替代角色:登录到 Azure 门户
选择“分类”“策略”“全局”,以打开“策略:全局”窗格。
在“配置要对信息保护最终用户显示和应用的设置”部分中,找到位于标签后面的策略设置。
记下设置的当前配置方式。 具体来说,是“选择默认标签”和“用户必须提供设置较低分类标签、删除标签或删除保护的理由”这两项设置。 例如:
我们会在本教程后面使用这些策略设置,你将在实际操作看到相应设置。
对于“选择默认标签”,请选择其中一个标签,例如“常规”.。
“常规”标签是 Azure 信息保护可为你创建的默认标签之一。 快速入门中的创建和发布标签部分中介绍了此步骤,即将 Azure 信息保护添加到 Azure 门户。
对于“用户必须提供设置较低分类标签、删除标签或删除保护的理由”,请将此选项设置为“开”(如果还不是此设置)。
另外,请务必将“在 Office 应用程序中显示信息保护栏”这一项设置为“开”。
选择此“策略: 全局”边栏选项卡上的“保存”,如果系统提示你确认操作,请选择“确定”。 关闭此窗格。
创建保护新标签、视觉标记和分类提示条件
现在,将为“机密”创建一个新的子标签。
从“分类”“标签”菜单选项中:右键单击“机密”标签,然后选择“添加子标签”。
如果没有名为“机密”的标签,可以选择另一个标签,也可以创建一个新标签,具体操作步骤仍与本教程相同,只存在细微差异。
在“子标签”窗格上,指定“财务”的标签名称,并添加以下说明:包含财务信息的机密数据仅限员工使用。
此文本说明应如何使用所选标签,并显示为一个工具提示,帮助用户确定要选择的标签。
对于“为包含此标签的文档和电子邮件设置权限”,选择“保护”,这会在为你选择“保护”选项时,自动打开“保护”窗格:
在“保护”窗格上,确保选中“Azure (云密钥)” 。 此选项使用 Azure Rights Management 服务保护文档和电子邮件。 还请务必选择“设置权限”选项。 然后选择“添加权限”。
在“添加权限”窗格上,选择“添加 组织名称 - 所有成员”。 例如,如果组织名称为 VanArsdel Ltd,则会看到以下选项可供选择:
此选项会自动选择组织中可以被授予权限的所有用户。 但是,可通过其他选项了解到,能浏览并搜索租户中的组或用户。 或者,选择“输入详细信息”选项时,可以指定单个电子邮件地址,甚至可指定来自另一个组织的所有用户。
对于权限,请在预设选项中选择“审阅者”。 可了解此权限级别如何自动授予部分列出的权限而不是所有权限:
使用“自定义”选项,可选择不同的权限级别或指定个人使用权限。 但对于本教程,请保持选中“审阅者”选项。 稍后可以尝试不同的权限,并了解它们如何限制指定用户对受保护文档或电子邮件可执行的操作。
单击“确定”关闭“添加权限”窗格,可看到“保护”窗格如何更新以反映配置 。 例如:
如果选择“添加权限”,此操作会再次打开“添加权限”窗格,以方便添加更多用户,并向他们授予不同的权限。 例如,为特定组授予仅查看访问权限。 但对于本教程,将为所有用户保留一组权限。
查看并保留内容有效期限和脱机访问的默认值,然后单击“确定”,保存并关闭此“保护”窗格 。
返回“子标签”窗格,找到“设置视觉标记”部分 :
对于“包含此标签的文档具有页脚”设置,请单击“开”,然后在“文本”框中键入“分类为机密” 。
对于“使用该标签的文档具有一个水印”设置:单击“开”,然后在“文本”框中键入你的组织名称。 例如,VanArsdel, Ltd
尽管可以更改视觉标记的外观,但是我们将暂时使用这些设置的默认值。
定位到“配置条件以自动应用该标签”部分:
单击“添加新条件”,然后在“条件”窗格中选择以下选项 :
a. 选择条件类型:保留默认值“信息类型”。
b. 对于“选择行业”:保留默认值“全部”。
c. 在“选择信息类型”搜索框中:键入“信用卡卡号”。 然后,从搜索结果中选择“信用卡号”。
d. 最少出现次数:保留默认值“1”。
e. 仅计算唯一值的发生次数:保留默认值“关闭”。
单击“保存”返回到“子标签”窗格 。
在“子标签”窗格上,会看到“信用卡号”显示为“条件名称”,“出现次数”为“1”:
对于选择应用此标签的方式:保留默认设置“推荐”,并且不要更改默认策略提示。
在“添加备注以供管理员使用”框中,键入“仅用于测试目的”。
在此“子标签”窗格上单击“保存” 。 如果系统提示你确认,请单击“确定”。 将创建和保存新标签,但尚未将其添加到策略。
从“分类”“策略”菜单选项中:再次选择“全局”,然后选择标签后的“添加或删除标签”链接。
从“策略: 添加或删除标签”窗格中,选择刚刚创建的标签(名为“财务”的子标签),然后单击“确定”。
在“策略:全局”窗格上,现在可以在全局策略中看到针对视觉标记和保护配置的新子标签。 例如:
还可以看到对默认标签和理由配置的设置:
单击此“策略: 全局”边栏选项卡上的“保存” 。 如果系统提示你确认此操作,请单击“确定”。
完成本教程后,可以关闭 Azure 门户,也可以将其保留为打开状态以尝试其他配置选项。
你已准备好尝试更改结果。
在实际操作中查看分类、标签设置和保护
你所做的策略更改以及你创建的新标签适用于 Word、Excel、PowerPoint 和 Outlook。 我们在本教程中使用 Word 进行实际操作。
在 Word 中打开一个新文档。 由于已安装 Azure 信息保护客户端,可以看到以下视图:
在“主页”选项卡上,有一个“保护”组,其中有一个名为“保护”的按钮。
单击“保护”“帮助和反馈”,然后在“Microsoft Azure 信息保护”对话框中,确认客户端状态。 它应显示“连接为”和你的用户名。 此外,还应该看到上次连接的最近时间和日期以及信息保护策略的下载时间。 验证对于租户显示的用户名是否正确。
功能区下方有一个新栏:信息保护栏。 其显示“敏感度”的标题及我们在 Azure 门户中看到的标签。
手动更改默认标签
在信息保护栏上,选择最后一个标签,然后可看到子标签是如何排列的:
选择其中任一子标签,将看到其他标签如何不再显示在栏上,因为已为本文档选择标签。 “敏感级别”值将更改,以显示标签和子标签名称,标签颜色也会相应更改。 例如:
在信息保护栏上,单击当前所选标签值旁边的“编辑标签”图标:
此操作将再次显示可用的标签。
现在,选择第一个标签:“个人”。 由于所选标签的分类低于之前为此文档选择的标签分类,因此将会看到阐明为什么要降低分类级别的提示:
选择“不再应用以前的标签”,然后单击“确认”。 “敏感度”值将更改为“个人”,其他标签将再次隐藏。
完全删除分类
在信息保护栏上,再次单击“编辑标签”图标。 不要选择某个标签,而是单击“删除标签”图标:
系统提示时,这一次请键入“此文档不需要分类”,然后单击“确认”。
可看到“敏感度”值显示为“未设置”(这是在未将默认标签设置为策略设置时用户最初看到的新文档设置)。
查看标签和自动保护的推荐提示
在 Word 文档中,键入有效的信用卡号,例如:4242-4242-4242-4242。
使用任意文件名在本地保存文档。
现在,检测到信用卡卡号时,将看到一条提示,提示用户使用针对保护配置的标签。 如果不同意这条建议,可通过选择“忽略”来拒绝这一建议。 提供建议同时允许用户重写,可帮助减少使用自动分类时的误报。 在本教程中,请单击“立即更改”。
此时,除了表明已应用所配置标签(例如“机密\财务”)的文档外,还可立即在整个页面上看到组织名称的水印,并且还应用了页脚“分类为机密” 。
该文档还受到为此标签指定的权限的保护。 单击“文件”选项卡可以确认文档是否处于受保护状态,然后查看“保护文档”的信息 。 看到该文档受“机密\财务”的保护以及标签说明。
由于标签的保护配置,只有员工可以打开该文档,且其某些操作受限。 例如,由于他们没有打印、复制和提取内容权限,因此,无法打印文档或从中复制内容。 这样的限制有助于防止数据丢失。 作为文档所有者,你可以打印它并从中进行复制。 但是,如果你将该文档以电子邮件的形式发送给组织中的其他用户,他们将无法执行这些操作。
现在可以关闭此文档。
清理资源
如果你不想保留在本教程中所做的更改,请执行以下操作:
选择“分类”“策略”“全局”,以打开“策略:全局”窗格。
将策略设置恢复为你记下的原始值,然后选择“保存”。
从“分类”“标签”菜单选项中:在“Azure 信息保护 - 标签”窗格上,选择创建的“财务”标签的上下文菜单 (...)。
选择“删除此标签”,如果系统提示你进行确认,请选择“确定”。
重新启动 Word,下载这些更改。
后续步骤
若要详细了解如何编辑 Azure 信息保护策略,请参阅配置 Azure 信息保护策略。
若要详细了解记录标签活动的位置,请参阅 Azure 信息保护客户端的使用日志记录。