Терминът защита на информацията или IP обикновено се използва, за да обхване индустриалните стандарти и най-добрите практики за защита на информация от неоторизиран достъп. В екосистемата на Microsoft Azure Information Protection е облачна услуга, която позволява на организациите да класифицират данни с етикети за контрол на достъпа. Azure Information Protection може да бъде закупен като самостоятелен лиценз или в комплект с решение като Microsoft 365 Business.
Ето разбивка на функциите, включени във всяка от четирите версии на Azure Information Protection . Лицензът AIP Premium P1 е включен в Microsoft 365 Business.
Еволюцията на Azure Information Protection
Azure Information Protection премина през еволюция през последните няколко години и може би сте се сблъсквали с тази технология под друго име. Някои от старите имена на технологията са Azure Rights Management Service (Azure RMS), Azure Active Directory Rights Management (AADRM), Windows Azure Active Directory Rights Management, Information Rights Management (IRM) или за някои просто „Новият Microsoft RMS. ” Ще направите голяма услуга на себе си и на Microsoft, като забравите всички тези стари имена и просто се придържате към Azure Information Protection .
Последната итерация на тази облачна технология вече предлага възможности за класификация и етикетиране, които от своя страна могат да прилагат управление на правата за защита на файлове. На високо ниво Azure Information Protection защитава вашите данни в три ключови стъпки:
Първо, данните се класифицират и етикетират . Например, ако даден документ е класифициран като поверителен и трябва да е достъпен само за получателите на имейла, етикетът може да бъде Поверителен — Само за получатели.“
След това данните са защитени чрез криптиране, контрол на достъпа и политики, базирани на етикета. Продължавайки с предходния пример, документ, отбелязан с етикета Поверително — Само получатели, ще бъде шифрован, така че само получателите да могат да го прочетат.
И накрая, документите могат да бъдат проследени и достъпът може да бъде отменен, ако е необходимо. От предходния пример подателят на имейла може да реши, че един от получателите вече не трябва да има достъп до документа. В този случай подателят може да отмени достъпа за конкретен потребител.
Шифроването на съобщения в Office 365 или OME е една от функциите в Azure Information Protection. Ако имате лиценз AIP Premium P2, можете да се възползвате от допълнителни функции, като автоматично класифициране за облачни и локални данни. Тук ще откриете функциите, налични в лиценза AIP Premium P1.
Активиране на Azure Information Protection
За да започнете да използвате Azure Information Protection, първото нещо, което трябва да направите като ИТ администратор, е да активирате услугата във вашия Microsoft 365 Business наемател. Дори ако смятате, че услугата вече е активирана, не пречи да проверите. Ето как:
Влезте в портала за администриране на Microsoft с вашите глобални администраторски идентификационни данни.
В лявата навигация под групата Настройки щракнете върху Услуги и добавки.
Показва се страницата Услуги и добавки.
Придвижване до настройките на Microsoft Azure Information Protection.
Изберете Microsoft Azure Information Protection
Вдясно се показва прозорецът Microsoft Azure Information Protection.
В прозореца Microsoft Azure Information Protection щракнете върху Управление на настройките за защита на информацията в Microsoft Azure.
Потвърдете, че управлението на правата е активирано. Ако не е, щракнете върху бутона Активиране
В този пример клиентът вече е активиран за Azure Information Protection.
Наемател с активирано управление на правата.
След като потвърдите състоянието на вашите настройки на Azure Information Protection, можете безопасно да затворите прозореца на браузъра или да се придвижите обратно до Центъра за администриране на Microsoft 365 от стартовия панел на приложения.
Запознаване с етикетите за Azure Information Protection
Azure Information Protection се предлага предварително конфигуриран с правила и етикети по подразбиране, които са приложими за повечето организации, включително малки предприятия. Преди да започнете да мислите за конфигуриране на персонализирани етикети и правила за вашата организация, отделете време да се запознаете с настройките по подразбиране на Azure Information Protection. Може да си спестите много работа при създаването и тестването на персонализирани правила.
Ако вашият клиент на Office 365 е бил осигурен с Azure Information Protection след февруари 2018 г., следните етикети и съответните описания вече са налични:
- Лични: Небизнес данни, само за лична употреба.
- Обществени: Бизнес данни, които са специално подготвени и одобрени за обществено потребление.
- Общи: Бизнес данни, които не са предназначени за обществено потребление, но могат да бъдат споделени с външни партньори при необходимост. Примерите включват вътрешен телефонен указател на компанията, организационни схеми, вътрешни стандарти и повечето вътрешни комуникации.
- Поверително: Чувствителни бизнес данни, които могат да причинят щети на бизнеса, ако бъдат споделени с неупълномощени хора. Примерите включват договори, отчети за сигурност, обобщения на прогнозите и данни за сметката за продажби. Поверителният етикет е допълнително разделен на два подетикета:
- Само получатели: Поверителни данни, които изискват защита и които могат да бъдат преглеждани само от получателите. Този етикет ще се показва само в Outlook и ще приложи правилото „Не препращай“.
- Всички служители: Поверителни данни, които изискват защита, която позволява на всички служители пълни разрешения. Собствениците на данни могат да проследяват и отменят съдържание.
- Всеки (незащитен): Данни, които не изискват защита. Използвайте тази опция внимателно и с подходяща бизнес обосновка.
- Силно поверително. Много чувствителни бизнес данни, които биха причинили щети на бизнеса, ако бъдат споделени с неупълномощени хора. Примерите включват информация за служители и клиенти, пароли, изходен код и предварително обявени финансови отчети. Етикетът „Страхотно поверително“ е допълнително разделен на три подетикета:
- Само получатели: Силно поверителни данни, които изискват защита и които могат да бъдат преглеждани само от получателите. Този етикет ще се показва само в Outlook и ще приложи правилото „Не препращай“.
- Всички служители: Силно поверителни данни, които позволяват на всички служители да преглеждат, редактират и отговарят на разрешения за това съдържание. Собствениците на данни могат да проследяват и отменят съдържание.
- Всеки (незащитен): Данни, които не изискват защита. Използвайте тази опция внимателно и с подходяща бизнес обосновка.
Ако вашият клиент на Office 365 е бил предоставен преди 21 март 2017 г., ще откриете, че липсват етикетите Общи и Силно поверителни. Техният еквивалент при по-старите наематели са съответно Вътрешен и Секретен.
За да проучите допълнително тези етикети и съответните правила, трябва да отидете до портала на Azure и да получите достъп до настройките на услугата Azure Information Protection. Ето как:
Следвайте стъпки 1-4 по-горе, за да активирате информация за защита на Azure.
На страницата Управление на правата щракнете върху бутона Разширени функции
Стартира се нов прозорец на браузъра и се показва страницата Azure Information Protection — Етикети.
Azure Information Protection — страница с етикети в Azure.
Етикетите Поверително и Силно Поверително са свити по подразбиране. За да видите техните подетикети, щракнете върху стрелката вляво от етикета, за да разширите избора.
Няколко думи за политиките за защита на информацията на Azure
На страницата Azure Information Protection — Етикети, имайте предвид, че всички етикети имат глобални в колоната Политика. По подразбиране Azure Information Protection идва с глобална политика, която се прилага към всички потребители в клиента. Можете да редактирате тази политика, но не можете да я изтриете. Можете също да създадете нови политики и да ги конфигурирате според желанието си, но глобалната политика винаги ще бъде там.
За да видите подробностите за глобалната политика на Azure Information Protection, изпълнете следните стъпки:
Следвайте стъпки 1-4 по-горе, за да активирате информация за защита на Azure.
На страницата Управление на правата щракнете върху бутона Разширени функции
Стартира се нов прозорец на браузъра и се показва страницата Azure Information Protection — Етикети.
В лявото меню под групата Класификации щракнете върху Политики.
Вдясно се показва Конфигуриране на административно име и описание за всеки блейд на политика. Показва се блейдът Политика: Глобална.
Политиката: Глобален блейд в Azure Information Protection.
Внимавайте да промените настройките по подразбиране в глобалната политика, защото тя е приложима за всички във вашата организация. Може да искате първо да създадете друга политика и да я тествате. Ако решите да промените глобалната политика, не забравяйте да запазите промените си. (Ако забравите и просто затворите ножа, системата ще ви подкани да запазите промените си.)
Привеждане в действие на Azure Information Protection
Внедряването на Azure Information Protection не е нещо, което бихте направили без внимателно планиране и участието на ключови заинтересовани страни във вашата организация. Трябва да се уверите, че внедряването е съобщено на крайните потребители, обучението е предоставено и поддръжката е планирана.
Като ИТ администратор, внедряващ Microsoft 365 Business , трябва да извършите някои тестове и да се запознаете с процеса, преди да внедрите Azure Information Protection за цялата организация. След като проучите услугата Azure Information Protection в Microsoft Azure, следващата стъпка е да приложите това, което знаете в действие. В тази фаза трябва да участват вашите крайни потребители.
Инсталиране на клиента Azure Information Protection
Можете да имате най-добрите политики и етикети за Azure Information Protection в Azure, но те няма да са полезни, ако крайните ви потребители не могат да ги видят и прилагат. На клиента ПДИ, една програма, която се изпълнява на устройства на крайните потребители, решава този проблем.
Преди да инсталирате AIP клиента, уверете се, че Office ProPlus вече е инсталиран, но не работи на устройството. Когато сте готови да инсталирате AIP клиента, направете следното:
Придвижете се до страницата за изтегляне на клиента на Azure Information Protection .
Появява се Центърът за изтегляне на Microsoft.
Щракнете върху бутона Изтегляне.
Показва се прозорецът Изберете желаното от вас изтегляне.
Изберете AzInfoProtection.exe, като изберете квадратчето и след това щракнете върху Напред.
Изтегляне на клиента Azure Information Protection.
От известието, което се появява в долната част на екрана, щракнете (или щракнете двукратно) Изпълни.
Системата извършва проверка на сигурността при изтеглянето. Когато проверката приключи, изскача прозорецът Microsoft Azure Information Protection.
Прозорец за инсталиране на Azure Information Protection.
Щракнете върху бутона Съгласен съм.
Можете да изберете да инсталирате демонстрационна политика (не се препоръчва, защото ще затрупва потребителския ви интерфейс) или да изпратите статистически данни за употребата на Microsoft или и двете.
В прозореца за контрол на потребителските акаунти, който се показва, щракнете върху Да, за да започнете инсталацията.
Виждате напредъка на инсталацията.
Когато прозорецът на Microsoft Azure Information Protection се покаже Завършено успешно, щракнете върху бутона Затвори.
Прозорецът за инсталиране изчезва и вече сте готови да проверите дали клиентът Azure Information Protection е инсталиран успешно. За да проверите инсталацията, отворете празен документ в Word. Виждате етикетите под лентата.
Етикети за защита на информацията Azure, показани в Word.
Прилагане на етикет към документ
След като клиентът Azure Information Protection е инсталиран и етикетите се показват в приложенията на Office, е време да го изпробвате.
Създайте документ на Word и се преструвайте, че е силно поверителен.
В лентата за чувствителност щракнете върху Силно поверително и изберете Всички служители.
Прилагане на етикета Силно поверително/Всички служители.
Етикетът е приложен и другите етикети ще изчезнат.
Стартирайте Outlook, стартирайте нов имейл и прикачете документа на Word.
Имайте предвид, че Outlook показва лентата за чувствителност със същите етикети, които видяхте в Word.
Въведете имейл адреса на потребител във вашата организация.
Въведете имейл адрес извън вашата организация и след това щракнете върху Изпращане.
Outlook изпраща имейла до получателите с етикета Силно поверително/Всички служители. В това упражнение имейлът все още ще излиза както на вътрешния, така и на външния потребител. Вътрешният потребител ще може да отваря и чете документа от поканата за споделяне. Външният потребител обаче ще бъде блокиран от отваряне на документа и ще му бъде представено съобщението, показано тук.
Външен потребител, блокиран от чувствителен документ.
Отмяна на достъпа до информация
Azure Information Protection защитава вашата фирмена информация от попадане в грешни ръце — дори след като е попаднала в грешни ръце.
Например, да предположим, че осъзнавате, че случайно сте изпратили документ на грешни хора и искате да поправите ситуацията, като отмените целия достъп до документа. Ето какво можете да направите, като продължите от примера по-горе:
Отворете защитения документ на Word от предходното упражнение.
Появява се жълта лента, показваща чувствителността на документа и съдържаща бутон за преглед на разрешенията за документа.
На лентата щракнете върху Начало и след това щракнете върху бутона Защита.
Под бутона Защита се появява подменю.
Достъп до сайта за проследяване на документи.
В подменюто щракнете върху Проследяване и отмяна, за да стартирате сайта за проследяване на документи.
Вашият браузър се стартира, за да ви отведе до сайта за проследяване на документи.
Ако това е първият път, когато посещавате сайта, влезте с вашите идентификационни данни за Microsoft 365 Business.
След успешно влизане, сайтът за проследяване на документи показва обобщение на изгледите на вашия документ. Разгледайте разделите, за да видите стабилните функции в Azure Information Protection.
Сайтът за проследяване на документи.
В долната част на сайта за проследяване на документи щракнете върху бутона Отмяна на достъпа.
Показва се страницата Revoke access.
Щракнете върху бутона Потвърди в долната част на страницата.
Показва се прозорецът Revoke Complete.
Щракнете върху Продължи, за да се върнете към страницата за проследяване на документи.
В изгледа Резюме документът показва отменен печат.
Една от най-удивителните функции в това решение е, че в раздела Карта можете да видите къде по света потребителите са се опитали да осъществят достъп до вашия документ! Така че, ако някога откриете, че някой от, да речем, Русия или Тимбукту, се е опитал да отвори вашия документ, въпреки че всички ваши потребители са в Съединените щати, ще знаете, че достъпът до документа трябва да бъде отменен.