在 Workspace ONE Boxer 中使用 Azure 信息保护 (AIP) 敏感度标签保护电子邮件和文档

使用 Azure 信息保护 (AIP)，您可以保护在组织内部或外部交换的电子邮件和文档。

Microsoft Azure 是一个公有云计算平台，旨在提供一组云服务来应对您面临的业务挑战。它让您能够使用喜欢的工具和框架跨庞大的全球网络构建、管理和部署应用程序。Azure 信息保护 (AIP) 是 Microsoft Azure 提供的服务之一。

AIP 可保护贵公司的敏感信息。它使您的组织可以在创建或修改电子邮件和文档时对其进行加密、分类和保护。借助 AIP，您可以：

• 手动或自动添加标签，并根据业务规则对电子邮件和文档进行分类。
• 对您的电子邮件和文档强制执行加密。
• 通过对电子邮件应用页眉和页脚文本来保护您的信息。

AIP 提供卓越的最终用户体验，借助 AIP，用户只需应用标签即可保护其信息。组织还可以利用全面统一的数据保护方法来增强其安全策略和数据丢失防护策略。

有关 AIP 的详细信息，请参见什么是 Azure 信息保护？。

AIP 支持的功能

• AIP 功能仅支持现代身份验证。
• 借助 AIP，您可以使用标签对电子邮件的内容进行加密。默认情况下，将使用 Azure 云密钥进行加密，但您也可以通过配置标签的保护模板 ID，在服务器级别设置额外的加密。
• AIP 支持水印功能。您可以通过对电子邮件应用页眉和页脚文本来添加水印。
• 默认标签是自动应用于您撰写的新电子邮件的标签。
• AIP 功能只允许对每封电子邮件应用一个标签。
• 您可以根据以下类别对电子邮件和文档应用限制：
  • 用户操作 - 您可以限制用户对收到的电子邮件执行以下操作。
    • 查看
    • 答复
    • 全部答复
    • 不转发
  • 用户组 - 您只能允许选定的用户和组访问您的电子邮件。
  • 时间 - 您可以设置几天或特定日期来允许用户在此期间访问您的电子邮件。当时间到期时，用户将无法访问电子邮件。
• 您可以将 AIP 配置为在用户尝试降级或移除标签时请求提供理由。
• 一个会话中的每封电子邮件可以有不同的标签。
• 如果在 Workspace ONE UEM console 中配置了敏感度标签，则用户无法在 Workspace ONE Boxer 中查看 IRM 模板。

为您的组织启用 Azure 信息保护 (AIP) 敏感度标签

作为管理员，您可以使用 Azure 门户为您的组织配置 Azure 信息保护敏感度标签。您还必须使用键值对配置 Workspace ONE Boxer，以启用 AIP 功能。

1. 登录到 Azure 门户。有关 Azure 门户的详细信息，请参见配置 Azure 信息保护策略。

2. 在 Office 365 帐户的组织设置中启用以下选项。

   a. Azure 信息保护

   b. Microsoft 信息保护 API

3. 在 AIP 中激活数据保护和统一标签选项。

4. 在 AIP 的分类设置中配置标签。

5. 在 Workspace ONE UEM console 中添加并启用 PolicySensitivityLabelsEmailClassification 键。要了解如何配置此键，请参阅在 Workspace ONE Boxer 中启用 AIP 敏感度标签。

   启用 PolicySensitivityLabelsEmailClassification 键时，

   • 它将为最终用户停用默认 Boxer 策略（分类和 IRM 模板），并将其替换为在 Azure 中设置的一组 AIP 敏感度标签。

   • 以下键值对将变为非活动状态，且无法启用：

     • PolicyClassMarkingsEnabled
     • PolicyClassMarkingsXHeader
     • PolicyClassVersion
     • PolicyClassMarkings
     • PolicyClassMarkingsRankEnabled
     • PolicyClassMarkingsDefaultClass 注意：

   • 作为管理员，您必须同意租户用户使用敏感度标签。否则，每个用户都必须手动同意。未经同意，用户不能使用标签。

   • 标签可能需要 24 小时才能从 Azure 同步到 Workspace ONE Boxer。

在 Workspace ONE Boxer 中配置 Azure 信息保护 (AIP) 敏感度标签

如果您的管理员未同意您访问 AIP 敏感度标签，您必须手动同意。

1. 要在 Workspace ONE Boxer 中启用敏感度标签，请点击收件箱屏幕上显示的横幅中的启用选项。

2. 如果您有多个受管帐户，并且当前位于“所有帐户”屏幕上，则必须选择一个您要为其启用敏感度标签的帐户。如果您只有一个受管帐户，您将直接重定向到 Microsoft 页面，您必须在该页面中手动同意。

3. 点击 Microsoft 页面上的接受并手动同意。

   得到同意后，Boxer 将从 Azure 提取所有标签。您可将这些标签应用于您的电子邮件，还能接收带标签的电子邮件。

4. 要更新带敏感度标签的较旧电子邮件，您可以重新同步 Boxer。

即使没有得到同意，您仍可以访问电子邮件，但无法对电子邮件内容应用任何限制和分类。

将 Azure 信息保护 (AIP) 敏感度标签应用于电子邮件

您可以在撰写新电子邮件、回复或转发收到的电子邮件时应用敏感度标签。要将标签应用于电子邮件，您必须点击标签图标。点击时，您可以看到 Azure 中配置的所有标签的列表。

常规信息：

• 不能选择父标签。只能选择子标签。
• 如果在 Azure 中启用了默认标签功能，您可以看到标签已应用于该列表。

• 将标签应用于电子邮件时，您可以在电子邮件正文中看到以下内容：

  • 用于确认您已应用标签的消息条。
  • 标签图标将变为红色。

  • 电子邮件主题下会出现一条红色实线。

    注意：敏感度标签不支持委派帐户。

接收带 Azure 信息保护 (AIP) 敏感度标签的电子邮件

当您收到已应用敏感度标签的电子邮件时，您可以看到所应用标签的名称和标记为红色的标签图标。如果标签具有相应的设置，您还可以看到页眉和页脚文本。电子邮件正文中显示的页眉和页脚文本取决于 Azure 中的标签设置。

根据标签的设置，发件人可以限制您对收到的电子邮件执行回复、全部回复或转发等操作。

点击标签名称时，您可以查看标签的其他详细信息，例如在收到的电子邮件上应用的名称、权限和限制。如果发件人向您授予相应权限，您还可以更改收到的电子邮件的标签。有时，系统会要求您提供更改标签的合理理由。Azure 中的策略设置控制此类请求。

在以下情况下，您无法访问敏感度标签：

• 您的管理员已在 Workspace ONE UEM console 中启用了 PolicySensitivityLabelsEmailClassification 键，但尚未在 Azure 中配置敏感度标签。
• Boxer 应用程序无法连接到 Azure 服务器。

IRM 模板和敏感度标签的组合

• 当您收到已应用 IRM 模板的电子邮件时，由 Azure 管理员配置的默认敏感度标签将应用于该电子邮件。您也可以手动应用标签。
• 如果您收到已应用敏感度标签的电子邮件，则可以使用其他敏感度标签（如果允许）。

S/MIME 和敏感度标签的组合

• 当您收到已签名或加密的电子邮件并对其应用敏感度标签时，将从该电子邮件中移除签名或加密保护级别。
• 如果您收到已应用敏感度标签的电子邮件，则当您对该电子邮件进行签名或加密时，该标签将自动删除。