Azure Information Protection (AIP) คือ? Leave a comment

Azure Information Protection หรือ AIP เป็นโซลูชั่นบนคลาวด์ที่ช่วยให้องค์กรสามารถจำแนก เลือก ป้องกันเอกสาร และอีเมล โดยใช้ป้ายกำกับ ป้ายกำกับสามารถนำไปใช้ได้อัตโนมัติ โดยผู้ดูแลระบบที่กำหนดกฎ และ เงื่อนไขด้วยตนเองโดยผู้ใช้ หรือชุดค่าผสมที่ผู้ใช้จะได้รับคำแนะนำ

รูปภาพต่อไปนี้แสดงตัวอย่างของการปกป้องข้อมูลด้วย Azure บนคอมพิวเตอร์ของผู้ใช้ ผู้ดูแลระบบได้กำหนดป้ายกำกับพร้อมกฎที่ตรวจจับข้อมูลที่ละเอียดอ่อน และในตัวอย่างของเรานี่คือข้อมูลบัตรเครดิต เมื่อผู้ใช้บันทึกเอกสาร Word ที่มีหมายเลขบัตรเครดิตเธอจะเห็นคำแนะนำเครื่องมือที่กำหนดเอง ที่แนะนำป้ายกำกับที่ผู้ดูแลระบบได้กำหนดค่าไว้ ฉลากนี้จัดประเภทเอกสารและปกป้องมัน

Example of recommended classification for Azure Information Protection

หลังจากที่เนื้อหาของคุณได้รับการจัดประเภท (และได้รับการคุ้มครองทางเลือก) คุณสามารถติดตาม และควบคุมวิธีการใช้งานได้ คุณสามารถวิเคราะห์กระแสข้อมูลเพื่อทำความเข้าใจกับธุรกิจของคุณตรวจจับพฤติกรรมเสี่ยง และใช้มาตรการแก้ไขติดตามการเข้าถึงเอกสารป้องกันการรั่วไหลของข้อมูลหรือใช้ในทางที่ผิดเป็นต้น

ฉลากมีการจำแนกประเภทอย่างไร

คุณใช้ป้ายกำกับการป้องกันข้อมูล Azure เพื่อใช้การจัดประเภทกับเอกสารและอีเมล เมื่อคุณทำเช่นนี้การจำแนกประเภทจะสามารถระบุได้ โดยไม่คำนึงถึงว่าข้อมูลถูกเก็บไว้ที่ใด หรือมีการแบ่งปันข้อมูลใด ป้ายกำกับอาจรวมถึงการทำเครื่องหมายภาพเช่นส่วนหัวท้ายกระดาษหรือลายน้ำ ข้อมูลเมตาจะถูกเพิ่มลงในไฟล์และส่วนหัวอีเมลเป็นข้อความที่ชัดเจน ข้อความที่ชัดเจนช่วยให้มั่นใจว่าบริการอื่น ๆ เช่นโซลูชั่นการป้องกันการสูญหายของข้อมูลสามารถระบุการจำแนกประเภทและดำเนินการที่เหมาะสม

ตัวอย่างเช่นข้อความอีเมลต่อไปนี้ถูกจัดประเภทเป็น “ทั่วไป” ป้ายกำกับได้เพิ่มส่วนท้ายของ “Sensitivity: General” ในข้อความอีเมล ส่วนท้ายนี้เป็นตัวบ่งชี้ที่มองเห็นได้สำหรับผู้รับทั้งหมดที่มีไว้สำหรับข้อมูลธุรกิจทั่วไปที่ไม่ควรส่งนอกองค์กร ป้ายกำกับจะถูกฝังอยู่ในส่วนหัวของอีเมลเพื่อให้บริการอีเมลสามารถตรวจสอบค่านี้และสามารถสร้างรายการตรวจสอบหรือป้องกันไม่ให้ส่งออกนอกองค์กร

Example email footer and headers showing Azure Information Protection classification

วิธีการปกป้องข้อมูล

เทคโนโลยีการป้องกันใช้การจัดการสิทธิ์ Azure (มักย่อไปยัง Azure RMS) เทคโนโลยีนี้รวมเข้ากับบริการและแอพพลิเคชั่นอื่น ๆ ของ Microsoft cloud เช่น Office 365 และ Azure Active Directory นอกจากนี้ยังสามารถใช้กับแอปพลิเคชันในสายธุรกิจของคุณและโซลูชันการปกป้องข้อมูลจากผู้จำหน่ายซอฟต์แวร์ไม่ว่าจะเป็นแอปพลิเคชันและโซลูชันเหล่านี้ในสถานที่หรือในระบบคลาวด์

เทคโนโลยีการป้องกันนี้ใช้การเข้ารหัสข้อมูลประจำตัวและนโยบายการอนุญาต เช่นเดียวกับป้ายกำกับที่ใช้การป้องกันที่ใช้โดยใช้การจัดการสิทธิ์จะอยู่กับเอกสารและอีเมลโดยไม่ขึ้นกับตำแหน่ง – ทั้งภายในหรือภายนอกองค์กรเครือข่ายไฟล์เซิร์ฟเวอร์และแอปพลิเคชัน โซลูชันป้องกันข้อมูลนี้ช่วยให้คุณสามารถควบคุมข้อมูลของคุณได้แม้ในขณะที่แบ่งปันกับคนอื่น

ตัวอย่างเช่นคุณสามารถกำหนดค่าเอกสารรายงานหรือสเปรดชีตพยากรณ์การขายเพื่อให้สามารถเข้าถึงได้โดยคนในองค์กรของคุณเท่านั้นและควบคุมว่าจะสามารถแก้ไขเอกสารนั้นหรือ จำกัด ให้เป็นแบบอ่านอย่างเดียวหรือป้องกันไม่ให้ถูกพิมพ์ คุณสามารถกำหนดค่าอีเมลในทำนองเดียวกันและป้องกันไม่ให้ส่งต่อหรือป้องกันการใช้ตัวเลือกตอบกลับทั้งหมด

การตั้งค่าการป้องกันเหล่านี้สามารถเป็นส่วนหนึ่งของการกำหนดค่าป้ายกำกับของคุณเพื่อให้ผู้ใช้สามารถจำแนกและป้องกันเอกสารและอีเมลได้อย่างง่ายดายเพียงใช้ป้ายกำกับ แอพพลิเคชั่นและบริการที่รองรับการป้องกัน แต่ไม่สามารถติดฉลากได้ สำหรับแอปพลิเคชันและบริการเหล่านี้จะมีการตั้งค่าการป้องกันเป็นเทมเพลตการจัดการสิทธิ์

เทมเพลตการจัดการสิทธิ์

ทันทีที่เปิดใช้งานบริการจัดการสิทธิ์ Azure แม่แบบเริ่มต้นสองแบบจะพร้อมใช้งานสำหรับคุณที่ จำกัด การเข้าถึงข้อมูลให้กับผู้ใช้ภายในองค์กรของคุณ คุณสามารถใช้เทมเพลตเหล่านี้เพื่อช่วยป้องกันการรั่วไหลของข้อมูลจากองค์กรของคุณทันที คุณสามารถเสริมแม่แบบเริ่มต้นเหล่านี้ได้ด้วยการกำหนดการตั้งค่าการป้องกันของคุณเองที่ใช้การควบคุมที่เข้มงวดยิ่งขึ้น

เมื่อคุณสร้างป้ายกำกับสำหรับ Azure Information Protection ที่มีการตั้งค่าการป้องกันภายใต้หน้าปกการกระทำนี้จะสร้างเทมเพลตการจัดการสิทธิ์ที่เกี่ยวข้อง จากนั้นคุณสามารถใช้แม่แบบนั้นเพิ่มเติมกับแอปพลิเคชันและบริการที่สนับสนุน Azure Rights Management

ตัวอย่างเช่นจากศูนย์ผู้ดูแลระบบ Exchange คุณสามารถกำหนดค่ากฎการไหลของจดหมาย Exchange Online เพื่อใช้แม่แบบเหล่านี้ :

Example of selecting templates for Exchange Online

ร่วมกับเวิร์กโฟลว์ของผู้ใช้ปลายทางสำหรับเอกสารและอีเมล

Azure Information Protection ผสานรวมกับเวิร์กโฟลว์ที่มีอยู่ของผู้ใช้เมื่อติดตั้งไคลเอนต์ Azure Information Protection ไคลเอนต์นี้ติดตั้งแถบการปกป้องข้อมูลไปยังแอปพลิเคชัน Office ซึ่งเราเห็นในภาพแรกที่แสดงแถบนี้ใน Word แถบการป้องกันข้อมูลเดียวกันถูกเพิ่มเข้าไปใน Excel, PowerPoint และ Outlook ตัวอย่างเช่น :

Example of the Azure Information Protection bar in Excel

Screenshot จาก Client ในส่วนของการติดฉลากแบบครบวงจรของ Azure Information Protection

แถบการป้องกันข้อมูลนี้ช่วยให้ผู้ใช้ปลายทางเลือกป้ายกำกับสำหรับการจำแนกประเภทที่ถูกต้องได้ง่าย หากต้องการสามารถใช้ป้ายกำกับโดยอัตโนมัติเพื่อลบการคาดเดาสำหรับผู้ใช้หรือเพื่อให้สอดคล้องกับนโยบายขององค์กรของคุณ

ในการจำแนกและป้องกันประเภทไฟล์เพิ่มเติมและเพื่อรองรับไฟล์หลายไฟล์พร้อมกันผู้ใช้สามารถคลิกขวาที่ไฟล์หรือโฟลเดอร์จาก Windows File Explorer :

File Explorer right-click Classify and protect using Azure Information Protection

เมื่อผู้ใช้เลือกตัวเลือกเมนูจัดประเภทและป้องกันจาก File Explorer ผู้ใช้สามารถเลือกป้ายกำกับที่คล้ายกับวิธีการใช้แถบการป้องกันข้อมูลในแอป Office บนเดสก์ท็อป พวกเขายังสามารถตั้งค่าการอนุญาตที่กำหนดเองได้หากต้องการ

ผู้ใช้ขั้นสูง (และผู้ดูแลระบบ) อาจพบว่าการใช้คำสั่ง PowerShell มีประสิทธิภาพมากขึ้นสำหรับการจัดการและการตั้งค่าการจำแนกและการป้องกันไฟล์หลายไฟล์ คำสั่ง PowerShell เพื่อดำเนินการเหล่านี้จะรวมอยู่ในไคลเอนต์โดยอัตโนมัติแม้ว่าคุณจะสามารถติดตั้งโมดูล PowerShell แยกจากกัน

หลังจากเอกสารได้รับการคุ้มครองผู้ใช้และผู้ดูแลระบบสามารถใช้ไซต์ติดตามเอกสารเพื่อตรวจสอบว่าใครกำลังเข้าถึงเอกสารเหล่านี้และเมื่อใด หากพวกเขาสงสัยว่าใช้ในทางที่ผิดพวกเขายังสามารถเพิกถอนการเข้าถึงเอกสารเหล่านี้ได้:

Revoke access icon in the document tracking site

การรวมเพิ่มเติมสำหรับอีเมล

เมื่อคุณใช้การป้องกันข้อมูล Azure กับ Exchange Online คุณจะได้รับประโยชน์เพิ่มเติม: ความสามารถในการส่งอีเมลที่ได้รับการป้องกันไปยังผู้ใช้ทุกคนด้วยความมั่นใจว่าพวกเขาสามารถอ่านได้บนอุปกรณ์ใด ๆ

ตัวอย่างเช่นผู้ใช้ต้องส่งข้อมูลที่ละเอียดอ่อนไปยังที่อยู่อีเมลส่วนบุคคลที่ใช้ Gmail, Hotmail หรือบัญชี Microsoft หรือสำหรับผู้ใช้ที่ไม่มีบัญชีใน Office 365 หรือ Azure AD อีเมลเหล่านี้ควรได้รับการเข้ารหัสที่ส่วนที่เหลือและระหว่างทางและจะต้องอ่านโดยผู้รับดั้งเดิมเท่านั้น

สถานการณ์สมมตินี้ต้องการความสามารถใหม่จากการเข้ารหัสข้อความ Office 365 หากผู้รับไม่สามารถเปิดอีเมลที่ได้รับการป้องกันในไคลเอ็นต์อีเมลดั้งเดิมของพวกเขาพวกเขาสามารถใช้รหัสผ่านแบบครั้งเดียวเพื่ออ่านข้อมูลที่ละเอียดอ่อนในเบราว์เซอร์

ตัวอย่างเช่นผู้ใช้ Gmail เห็นสิ่งต่อไปนี้ในข้อความอีเมล:

Gmail recipient experience for OME and AIP

สำหรับผู้ใช้ที่ส่งอีเมลขั้นตอนการทำงานของพวกเขาไม่ต่างจากการส่งอีเมลที่ได้รับการป้องกันไปยังผู้ใช้ในองค์กรของตนเอง ตัวอย่างเช่นพวกเขาสามารถเลือกปุ่ม Do Not Forward ที่ไคลเอ็นต์ Azure Information Protection สามารถเพิ่มลงใน Ribbon ของ Outlook หรือฟังก์ชั่น Do Not Forward นี้สามารถรวมเข้ากับฉลากที่ผู้ใช้เลือกเพื่อให้อีเมลนั้นได้รับการจัดประเภทและได้รับการป้องกัน ตัวอย่างเช่น :

Selecting a label configured for Do Not Forward

Screenshot การติดฉลากแบบครบวงจรของ Azure Information Protection (AIP)

หรือคุณสามารถให้ความคุ้มครองแก่ผู้ใช้โดยอัตโนมัติโดยใช้กฎการรับส่งเมลที่ใช้การปกป้องสิทธิ์ เมื่อคุณแนบเอกสาร Office กับอีเมลเหล่านี้เอกสารเหล่านี้จะได้รับการป้องกันโดยอัตโนมัติเช่นกัน

การจำแนกและป้องกันเอกสารที่มีอยู่

โดยปกติแล้วเอกสาร และ อีเมลจะถูกติดป้าย เมื่อสร้างขึ้นครั้งแรก แต่คุณอาจมีเอกสารที่มีอยู่มากมายในแหล่งข้อมูล และต้องการจัดประเภท และป้องกันเอกสารเหล่านี้ด้วย ที่เก็บข้อมูลเหล่านี้อาจอยู่ในสถานที่ หรือ ในคลาวด์

สำหรับที่เก็บข้อมูลในสถานที่ของคุณใช้สแกนเนอร์ Azure Information Protection เพื่อค้นหาจัดหมวดหมู่ และป้องกันเอกสารในโฟลเดอร์ local, การแชร์เครือข่าย, Microsoft SharePoint Server และไลบรารี เครื่องสแกนทำงานเป็นบริการบน Windows Server คุณสามารถใช้กฎเดียวกันในนโยบาย เพื่อตรวจหาข้อมูลที่ละเอียดอ่อนและใช้ป้ายกำกับเฉพาะกับเอกสาร หรือคุณสามารถใช้ป้ายกำกับเริ่มต้นกับเอกสารทั้งหมดในที่เก็บข้อมูลโดยไม่ต้องตรวจสอบเนื้อหาไฟล์ คุณยังสามารถใช้สแกนเนอร์ในโหมดการรายงานเท่านั้น เพื่อช่วยให้คุณค้นพบข้อมูลที่ละเอียดอ่อนที่คุณอาจไม่รู้จัก

Leave a Reply

Your email address will not be published. Required fields are marked *