Microsoft 365 商業版：如何配置 Azure 信息保護

術語信息保護或 IP 通常用於包含保護信息免遭未經授權訪問的行業標準和最佳實踐。在 Microsoft 生態系統中，Azure 信息保護是一項云服務，它允許組織使用標籤對數據進行分類以控制訪問。Azure 信息保護可以作為獨立許可證購買，也可以捆綁到 Microsoft 365 商業版等解決方案中。

以下是Azure 信息保護的四個版本中每個版本中包含的功能的細分。AIP Premium P1 許可證包含在 Microsoft 365 商業版中。

Azure 信息保護的演變

Azure 信息保護在過去幾年中經歷了演變，您可能已經以不同的名稱遇到了這項技術。該技術的一些舊名稱是 Azure 權限管理服務 (Azure RMS)、Azure Active Directory 權限管理 (AADRM)、Windows Azure Active Directory 權限管理、信息權限管理 (IRM)，或者簡單地稱為“新的 Microsoft RMS。 ” 忘記所有這些舊名稱並堅持使用 Azure 信息保護，您將對自己和 Microsoft 大有幫助。

這種雲技術的最新迭代現在提供分類和標記功能，反過來，可以應用權限管理來保護文件。概括地說，Azure 信息保護通過三個關鍵步驟保護你的數據：

首先，對數據進行分類和標記。例如，如果文檔被歸類為機密文件，並且只應提供給電子郵件收件人，則標籤可能是機密——僅限收件人。”

接下來，通過基於標籤的加密、訪問控制和策略來保護數據。繼續前面的示例，標有機密 - 僅限收件人標籤的文檔將被加密，以便只有收件人可以閱讀它。

最後，可以跟踪文檔，並在必要時撤銷訪問權限。從前面的示例中，電子郵件的發件人可能會決定其中一個收件人不應再訪問該文檔。在這種情況下，發件人可以撤銷特定用戶的訪問權限。

Office 365 消息加密或OME是 Azure 信息保護中的功能之一。如果您擁有 AIP Premium P2 許可證，您可以利用其他功能，例如雲和本地數據的自動分類。在這裡，您會發現 AIP Premium P1 許可證中可用的功能。

激活 Azure 信息保護

要開始使用 Azure 信息保護，作為 IT​​ 管理員需要做的第一件事是激活Microsoft 365 商業版租戶中的服務。即使您認為該服務已啟用，驗證也無妨。就是這樣：

使用您的全局管理員憑據登錄Microsoft 的管理員門戶。

在左側導航中的“設置”組下，單擊“服務和加載項”。

將顯示服務和加載項頁面。

導航到 Microsoft Azure 信息保護設置。

選擇 Microsoft Azure 信息保護

Microsoft Azure 信息保護窗口顯示在右側。

在 Microsoft Azure 信息保護窗口中，單擊管理 Microsoft Azure 信息保護設置。

確認權限管理已激活。如果不是，請單擊“激活”按鈕

在此示例中，租戶已針對 Azure 信息保護激活。

已激活權限管理的租戶。

確認 Azure 信息保護設置的狀態後，可以安全地關閉瀏覽器窗口或從應用啟動器導航回 Microsoft 365 管理中心。

熟悉 Azure 信息保護標籤

Azure 信息保護預配置了適用於大多數組織（包括小型企業）的默認策略和標籤。在開始考慮為組織配置自定義標籤和策略之前，請花點時間熟悉 Azure 信息保護默認設置。您可以節省大量創建和測試自定義策略的工作。

如果您的Office 365租戶在 2018 年 2 月之後使用 Azure 信息保護進行預配，則以下標籤和相應說明已經可用：

• 個人：非商業數據，僅供個人使用。
• 公共：專門為公共消費準備和批准的業務數據。
• 常規：不供公眾使用但可以根據需要與外部合作夥伴共享的業務數據。示例包括公司內部電話簿、組織結構圖、內部標準和大多數內部通信。
• 機密：如果與未經授權的人員共享，可能會對業務造成損害的敏感業務數據。示例包括合同、安全報告、預測摘要和銷售帳戶數據。機密標籤進一步細分為兩個子標籤：
  • 僅限收件人：需要保護且只能由收件人查看的機密數據。此標籤只會出現在 Outlook 中，並將應用“不轉發”策略。
  • 所有員工：需要保護的機密數據，允許所有員工擁有完全權限。數據所有者可以跟踪和撤銷內容。
  • 任何人（不受保護）：不需要保護的數據。請謹慎使用此選項並提供適當的商業理由。
• 高度機密。非常敏感的業務數據，如果與未經授權的人共享，將會對業務造成損害。示例包括員工和客戶信息、密碼、源代碼和預先公佈的財務報告。高度機密標籤進一步細分為三個子標籤：
  • 僅限收件人：需要保護且只能由收件人查看的高度機密數據。此標籤只會出現在 Outlook 中，並將應用“不轉發”策略。
  • 所有員工：高度機密的數據，允許所有員工查看、編輯和回复此內容的權限。數據所有者可以跟踪和撤銷內容。
  • 任何人（不受保護）：不需要保護的數據。請謹慎使用此選項並提供適當的商業理由。

如果您的 Office 365 租戶是在 2017 年 3 月 21 日之前預配的，您會發現缺少常規和高度機密標籤。它們在舊租戶中的等效項分別是 Internal 和 Secret。

要進一步探索這些標籤和相應的策略，您需要導航到 Azure 門戶並訪問 Azure 信息保護服務設置。就是這樣：

按照上面的步驟 1-4 激活 Azure 保護信息。

在權限管理頁面上，單擊高級功能按鈕

將啟動一個新的瀏覽器窗口並顯示 Azure 信息保護 - 標籤頁面。

Azure 信息保護 - Azure 中的標籤頁。

默認情況下，機密和高度機密標籤是折疊的。要查看其子標籤，請單擊標籤左側的箭頭以展開選擇。

關於 Azure 信息保護策略的幾句話

在 Azure 信息保護 - 標籤頁上，請注意標籤在策略列下都有全局。默認情況下，Azure 信息保護附帶一個適用於租戶中所有用戶的全局策略。您可以編輯此策略，但不能刪除它。您還可以創建新策略並根據您的需要對其進行配置，但全局策略將始終存在。

若要查看 Azure 信息保護全局策略的詳細信息，請執行以下步驟：

按照上面的步驟 1-4 激活 Azure 保護信息。

在權限管理頁面上，單擊高級功能按鈕

將啟動一個新的瀏覽器窗口並顯示 Azure 信息保護 - 標籤頁面。

在左側菜單中的分類組下，單擊策略。

在右側，將顯示“為每個策略配置管理名稱和描述”邊欄選項卡。顯示“策略：全局”邊欄選項卡。

策略：Azure 信息保護中的全局刀片。

更改全局策略中的默認設置時要小心，因為它適用於您組織中的每個人。您可能希望先創建另一個策略並對其進行測試。如果您決定更改全局策略，請確保保存更改。（如果您忘記並簡單地關閉刀片，系統會提示您保存更改。）

將 Azure 信息保護付諸行動

Implementing Azure Information Protection is not something you would do without thoughtful planning and the involvement of keys stakeholders in your organization. You need to make sure that the rollout is communicated to end users, training is delivered, and support is planned.

As an IT admin implementing Microsoft 365 Business, you should perform some testing and become familiar with the process before you implement Azure Information Protection for the entire organization. After you’ve explored the Azure Information Protection service in Microsoft Azure, the next step is to put what you know into action. In this phase, you need your end users to participate.

Installing the Azure Information Protection client

You can have the greatest policies and labels for Azure Information Protection in Azure, but they’ll be no good if your end users can’t see and apply them. The AIP client, a program that is run on the end users’ devices, solves this problem.

Before you install the AIP client, make sure Office ProPlus is already installed but not running on the device. When you’re ready to install the AIP client, do the following:

Navigate to the Azure Information Protection client download page.

The Microsoft Download Center appears.

Click the Download button.

The Choose the Download You Want window is displayed.

Select AzInfoProtection.exe by selecting the box and then click Next.

Downloading the Azure Information Protection client.

From the notification that pops up at the bottom of your screen, click (or double-click) Run.

The system performs a security check on the download. When the check is complete, the Microsoft Azure Information Protection window pops up.

Installation window for Azure Information Protection.

Click the I Agree button.

You can opt to install a demo policy (not recommended because it will clutter your user interface) or send usage statistics to Microsoft or both.

In the User Account Control window that displays, click Yes to start the installation.

You see the progress of the installation.

When the Microsoft Azure Information Protection window displays Completed Successfully, click the Close button.

安裝窗口消失，您現在可以檢查 Azure 信息保護客戶端是否已成功安裝。要驗證安裝，請在 Word 中打開一個空白文檔。您會看到功能區下方的標籤。

在 Word 中顯示的 Azure 信息保護標籤。

將標籤應用於文檔

現在 Azure 信息保護客戶端已安裝，並且標籤已顯示在 Office 應用程序中，是時候對其進行測試了。

創建一個 Word 文檔並假裝它是高度機密的。

在敏感度欄上，單擊高度機密並選擇所有員工。

應用高度機密/所有員工標籤。

標籤被應用，其他標籤將消失。

運行 Outlook，開始一封新電子郵件，然後附加 Word 文檔。

請注意，Outlook 顯示的敏感度欄與您在 Word 中看到的標籤相同。

輸入組織中用戶的電子郵件地址。

輸入組織外部的電子郵件地址，然後單擊發送。

Outlook 將電子郵件發送給帶有高度機密/所有員工標籤的收件人。在本練習中，電子郵件仍將發送給內部和外部用戶。內部用戶將能夠從共享邀請中打開和閱讀文檔。但是，外部用戶將被阻止打開文檔，並會看到此處顯示的消息。

從敏感文檔中阻止的外部用戶。

撤銷對信息的訪問

Azure 信息保護可保護您的公司信息免於落入壞人之手 - 即使在落入壞人之手之後也是如此。

例如，假設您意識到您不小心將文檔發送給了錯誤的人，並希望通過撤銷對該文檔的所有訪問權限來糾正這種情況。以下是您可以執行的操作，從上面的示例繼續：

打開前面練習中受保護的 Word 文檔。

將出現一個黃色條，指示文檔的敏感度並包含用於查看文檔權限的按鈕。

在功能區上，單擊“主頁”，然後單擊“保護”按鈕。

“保護”按鈕下方會出現一個子菜單。

訪問文檔跟踪站點。

在子菜單上，單擊跟踪和撤銷以啟動文檔跟踪站點。

您的瀏覽器將啟動以將您帶到文檔跟踪站點。

如果這是您第一次訪問該站點，請使用您的 Microsoft 365 商業版憑據登錄。

成功登錄後，文檔跟踪站點會顯示文檔視圖的摘要。瀏覽選項卡以查看 Azure 信息保護中的強大功能。

文檔跟踪站點。

在文檔跟踪站點的底部，單擊撤銷訪問按鈕。

顯示撤銷訪問頁面。

單擊頁面底部的確認按鈕。

顯示撤銷完成窗口。

單擊繼續返回文檔跟踪頁面。

在摘要視圖中，文檔顯示已撤銷的戳記。

此解決方案中最令人驚奇的功能之一是在地圖選項卡中，您可以看到世界各地的用戶試圖訪問您的文檔！因此，如果您發現來自俄羅斯或廷巴克圖的人試圖打開您的文檔，即使您的所有用戶都在美國，您就會知道應該撤銷對該文檔的訪問權限。