l 使用Azure Information Protection for Office 365,您可以使用Office Web和桌面應用程式保護檔案和郵件。它包含在大多數企業版 Office
365 SKU中,只需要很少的設定。您可以透過指定範本來保護專案,例如公司機密或禁止轉寄。這可以控制用戶端應用程式允許使用者的操作行為,我們將此功能稱為保護。
l 使用Azure Information Protection Premium,您需要Enterprise
Mobility + Security或Microsoft 365 Enterprise SKU。Azure Information Protection Premium提供了以範本為基礎的保護功能,還加入了用於指定機密、敏感、秘密等分類的工具。AIP的P1 SKU讓使用者使用分類資訊對檔案進行手動分類和視覺化標籤。P2 SKU增加了建立規則的能力,可以根據內容自動分類和標記物件。此外,AIP還包括一些其他特性,比如能夠連接到on-premises Exchange、SharePoint伺服器等等。
參考資訊:
https://docs.microsoft.com/zh-tw/azure/information-protection/what-is-information-protection
AIP主要提供資料外洩保護和共用保護,但它不能解決一個關鍵問題,即使用者設備上的混合資料。考慮一下您的個人平板電腦、手機和筆記型電腦。如果您是同步到公司提供的電子郵件或OneDrive for Business帳戶,那麼您公司的敏感資料可能會混合在您的個人照片,音樂,電子郵件中。如果您的設備遺失、損壞、遭竊,或者您離開了公司,您和您的雇主將有不同的利益。他們希望確保他們的資料被安全刪除,您也希望確保您不會遺失你的個人資料。WIP將資料分離構建到作業系統中,以便對工作資料進行標記。工作資料使用Windows
EFS自動加密,它使用組織擁有的金鑰。作業系統和應用程式可以根據檔案物件是企業的還是個人擁有的,以不同的方式處理不同的物件。
要使用WIP,您需要三個必要條件:
1. 您需要Windows 10周年紀念版或更新版本。
2. 您需要一個移動裝置管理系統。目前,微軟同時支持SCCM和Intune。合作廠商將在未來支援WIP原則部署。
3. 您需要一個WIP原則來指定允許哪些應用程式處理哪種類型的資料。例如,您可能允許在Word中編輯企業和個人資料,但只允許AutoCAD處理企業資料。
由上述的說明我們可以知道,微軟的AIP和WIP的定位不同,因此沒有倆服務的產品比較資料,但可以看一下下列的圖例說明,大致可更清楚了解彼此的定位
AIP的定位則是在Leak protection及Sharing protection
WIP的定位是在Data Separation以及Leak
protection
並以我個人的理解,整理簡單的表來讓各位更清楚了解兩者的差異
要使用WIP,您需要三個必要條件:
1. 您需要Windows 10周年紀念版或更新版本。
2. 您需要一個移動裝置管理系統。目前,微軟同時支持SCCM和Intune。合作廠商將在未來支援WIP原則部署。
3. 您需要一個WIP原則來指定允許哪些應用程式處理哪種類型的資料。例如,您可能允許在Word中編輯企業和個人資料,但只允許AutoCAD處理企業資料。
參考資訊:
https://docs.microsoft.com/zh-tw/windows/security/information-protection/windows-information-protection/protect-enterprise-data-using-wip
AIP和WIP之間的一個關鍵區別是,WIP根據來源標記資料。在部署WIP時,原則指定與內部網路關聯的IP位址和網域名稱。它還指定了您信任的雲資源。例如,您可以允許OneDrive for Business和Dropbox,但封鎖Box和Google Drive。下載或複製文件時,WIP會知道它是來自內部網路,伺服器還是受信任的雲端來源。它將確認是否應將其標記為工作資料或個人資料。
由上述的說明我們可以知道,微軟的AIP和WIP的定位不同,因此沒有倆服務的產品比較資料,但可以看一下下列的圖例說明,大致可更清楚了解彼此的定位
AIP的定位則是在Leak protection及Sharing protection
|
|
WIP
|
AIP
|
|
保護機制
|
防止企業文件從Win10設備上外流
|
不分設備(Windows,
MacOS, iOS, Android)、地點,針對文件檔案進行分級及加密保護
|
|
特異功能
|
防止企業文件的內容被複製貼到一般文件或網站上
|
針對文件檔案可以進行存取追蹤及撤銷
|
|
授權
|
內建於Win10 1607以上的版本,無需授權。但需要Intune或SCCM以設定政策。
|
依使用者帳戶計價,分AIP
P1(文件擁有者手動套用)及AIP P2(依內文掃瞄自動套用)
|
|
使用者方便性
|
Win10上的企業文件會多加公事包圖示,除非政策阻擋,否則使用方式和平常一樣
|
依照使用情境,可能需要另外安裝AIP Client。若是非Office及PDF檔案,加密後的附檔名有可能會變更。使用者必須有Azure AD或Microsoft account。
|
|
不適用的情境
|
檔案需要分享。只能透過file
server或mail等方式達成。(或者整合AIP)
|
專案型文件群,例如一個Visual
Studio專案,或者一個CAD/CAM的大型專案裡可能會包含多個檔案參照。
|
沒有留言:
張貼留言