Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Microsoft Licencja
Bezpieczeństwo

Microsoft Purview Information Protection — kompletny przewodnik po konfiguracji i wdrożeniu (2026)

Microsoft Purview Information Protection to zestaw funkcji w ramach platformy Microsoft Purview, który umożliwia organizacjom zarządzanie cyklem życia ochrony i

11 min czytania·Zaktualizowano dzisiaj
Faktura VAT 23% + KSeFDostawa 1-3 min e-mailemGwarancja działania klucza5,0 / 5,0(KluczeSoft)

Microsoft Purview Information Protection (dawniej Microsoft Information Protection, a wcześniej Azure Information Protection) to zintegrowane rozwiązanie Microsoft 365 służące do odkrywania, klasyfikowania i ochrony wrażliwych danych w całym środowisku hybrydowym organizacji. W tym przewodniku pokazujemy, jak skonfigurować etykiety poufności (sensitivity labels), szyfrowanie i automatyczne etykietowanie od podstaw, tak aby dział IT mógł wdrożyć Purview Information Protection w ciągu kilku dni roboczych — bez konsultanta i bez chaosu.

W skrócie

  • Platforma Microsoft Purview Information Protection zastąpiła starsze rozwiązania AIP i oferuje jednolity mechanizm etykietowania poufności w aplikacjach Office, usługach Microsoft 365 i środowiskach on-premises
  • Główne komponenty to etykiety poufności (sensitivity labels), szyfrowanie oparte o Azure Rights Management Service, automatyczne etykietowanie (client-side i server-side), Data Loss Prevention (DLP) oraz klasyfikatory uczone maszynowo (trainable classifiers)
  • Proces konfiguracji przebiega w portalu Microsoft Purview (purview.microsoft.com) w czterech fazach: poznaj dane → chroń je → zapobiegaj utracie → monitoruj
  • Kluczowa zmiana w 2026: Microsoft wprowadził modern label scheme — od października 2025 wszystkie nowe tenant'y domyślnie używają nowego schematu, a starsze są sukcesywnie migrowane
  • Licencjonowanie: podstawowe etykietowanie ręczne dostępne jest od Microsoft 365 E3; szyfrowanie zaawansowane, auto-labeling i trainable classifiers wymagają E5 lub dodatku Microsoft 365 E5 Compliance

Czym jest Microsoft Purview Information Protection — pełna definicja

Microsoft Purview Information Protection to zestaw funkcji w ramach platformy Microsoft Purview, który umożliwia organizacjom zarządzanie cyklem życia ochrony informacji — od momentu ich utworzenia, przez przechowywanie i udostępnianie, aż po archiwizację. Rozwiązanie składa się z trzech komplementarnych filarów:

  1. Know Your Data (poznaj swoje dane) — narzędzia do identyfikacji danych wrażliwych: wbudowane typy informacji poufnych (np. numery PESEL, karty kredytowe), klasyfikatory uczone maszynowo (trainable classifiers) oraz graficzna analiza danych z Content Explorer i Activity Explorer.
  2. Protect Your Data (chroń swoje dane) — etykiety poufności, szyfrowanie z zarządzaniem prawami (Azure RMS), Double Key Encryption, szyfrowanie wiadomości (Microsoft Purview Message Encryption), skaner informacji (on-premises scanner) oraz rozszerzenia na Windows File Explorer i PowerShell.
  3. Prevent Data Loss (zapobiegaj utracie) — zasady DLP dla poczty, plików, czatu Teams, przeglądarki Chrome i repozytoriów on-premises.

Jak Purview IP różni się od Azure Information Protection (AIP)

AspektAzure Information Protection (AIP — starsze)Microsoft Purview Information Protection
Portal administracyjnyAzure Portal (portal.azure.com)Microsoft Purview portal (purview.microsoft.com)
Klient etykietowaniaUnified Labeling Client (dodatek AIP) — wycofanyBuilt-in labeling w aplikacjach Office + Microsoft Purview Information Protection client
Schemat etykietKlasyczny (classic label scheme)Klasyczny lub nowoczesny (modern label scheme — od października 2025 domyślny dla nowych tenantów)
Automatyczne etykietowanieOgraniczone do klienta AIPClient-side + server-side (SharePoint, OneDrive, Exchange) + auto-labeling policies
Grupowanie etykietBrakLabel groups — pionowe grupowanie etykiet dla użytkowników
Integracja z Teams MeetingsBrakPełna — etykiety chronią elementy kalendarza, spotkania Teams i czaty
Dynamiczne znaki wodneBrakObsługiwane — UPN użytkownika jako watermark na każdej stronie

Niezależne wyjaśnienie: KluczeSoft jest niezależnym sprzedawcą licencji Microsoft i nie jest powiązany z Microsoft Corporation. Microsoft Purview Information Protection jest zastrzeżonym znakiem towarowym Microsoft.

Jak skonfigurować Microsoft Purview Information Protection — krok po kroku

Faza 1: Przygotowanie i wymagania wstępne

Przed rozpoczęciem konfiguracji upewnij się, że spełnione są następujące warunki:

  • Licencjonowanie: minimum Microsoft 365 E3 (dla ręcznego etykietowania) lub Microsoft 365 E5 / E5 Compliance (dla auto-labelingu, trainable classifiers i zaawansowanego szyfrowania).
  • Uprawnienia administratora: rola Compliance Data Administrator, Compliance Administrator lub Global Administrator w Microsoft Entra ID (dawniej Azure AD).
  • Aktywowany Azure Rights Management: w nowszych tenantach RMS jest domyślnie włączony; w starszych może wymagać ręcznej aktywacji przez PowerShell (Enable-AipService) lub portal Purview.
  • Aplikacje Office w wersji subskrypcyjnej: Microsoft 365 Apps for Enterprise (wersje perpetual / standalone nie obsługują etykiet poufności).
  • Exchange Online: skrzynki użytkowników muszą być hostowane w Exchange Online; skrzynki on-premises i shared mailboxes nie są wspierane.

Faza 2: Tworzenie i konfiguracja etykiet poufności

  1. Zaloguj się do portalu Microsoft Purview (https://purview.microsoft.com) → SolutionsInformation ProtectionSensitivity labels.
  2. Kliknij + Create a label.
  3. Określ nazwę, wyświetlaną nazwę, opis dla użytkowników i kolor etykiety (dostępnych 10 standardowych kolorów; kolory niestandardowe przez PowerShell Set-Label z parametrem color).
  4. Na stronie Define the scope for this label zaznacz zakres: Files & other data assets, Emails, Meetings (to ostatnie wymaga zaznaczenia dwóch pierwszych).
  5. Skonfiguruj ustawienia ochrony — w szczególności:
    • Content markings: nagłówki, stopki i znaki wodne z możliwością użycia zmiennych (${User.Name}, ${Item.Label}, ${Event.DateTime}).
    • Encryption (Access control): przypisz uprawnienia teraz (Assign permissions now) lub pozwól użytkownikom wybrać (Let users assign — Do Not Forward, Encrypt-Only).
    • Auto-labeling for Office apps: warunki automatycznego etykietowania dokumentów i wiadomości e-mail na podstawie typów informacji poufnych (np. każdy dokument zawierający numer PESEL automatycznie otrzymuje etykietę "Poufne").
  6. Zapisz etykietę. Powtórz dla wszystkich potrzebnych etykiet.
  7. Ustal priorytety etykiet (kolejność ma znaczenie — etykieta o wyższym priorytecie nadpisuje niższą). Przeciągnij etykiety w górę/w dół.

Faza 3: Publikacja etykiet (label policy)

  1. Przejdź do Publishing policiesPublish label.
  2. Wybierz etykiety do opublikowania.
  3. Wybierz użytkowników i grupy (zalecane grupy, nie pojedynczy użytkownicy — w tym dynamiczne Microsoft 365 Groups).
  4. Skonfiguruj ustawienia polityki:
    • Domyślna etykieta dla dokumentów / e-maili — osobne ustawienia od wersji Outlook obsługujących różne etykiety domyślne.
    • Wymagaj etykietowania (mandatory labeling) — użytkownik nie wyśle e-maila ani nie zapisze dokumentu bez etykiety.
    • Uzasadnienie zmiany etykiety — wymaganie podania powodu przy obniżaniu klasyfikacji.
  5. Zatwierdź — polityka publikuje się automatycznie (bez osobnego przycisku "publikuj").

⚠️ Uwaga: Zmiany na etykietach i politykach propagują się do 24 godzin we wszystkich aplikacjach i usługach. W przypadku nowych etykiet w Word/Excel/PowerPoint online czas może być krótszy (~1 godzina).

Faza 4: Automatyczne etykietowanie i monitorowanie

Po opublikowaniu etykiet ręcznych można skonfigurować:

  • Auto-labeling policies (server-side) — automatyczne etykietowanie danych przechowywanych w SharePoint, OneDrive i Exchange (działa na danych w spoczynku).
  • Auto-labeling w aplikacjach Office (client-side) — etykieta sugerowana użytkownikowi podczas edycji dokumentu na podstawie wykrytych typów danych wrażliwych.
  • Skaner informacji (on-premises scanner) — wykrywa i etykietuje dane w lokalnych repozytoriach plików (Windows Server, udziały SMB).
  • Content Explorer i Activity Explorer — graficzny podgląd, gdzie znajdują się dane z etykietami, oraz log aktywności użytkowników (kto, kiedy i jaką etykietę zastosował/zmienił/usunął).

Porównanie opcji etykietowania: ręczne vs automatyczne vs DLP

KryteriumRęczne etykietowanieAuto-labeling (client-side)Auto-labeling policies (server-side)Data Loss Prevention (DLP)
Kto inicjujeUżytkownikSilnik Office po wykryciu wzorcaUsługa w tle (SharePoint/Exchange)Silnik DLP w momencie akcji
Kiedy działaPrzy tworzeniu/zapisie/wysyłceW czasie edycji w aplikacji OfficeNa danych już zapisanych (at rest)Przy próbie udostępnienia/wysłania
Wymagane licencjeMicrosoft 365 E3Microsoft 365 E5Microsoft 365 E5Microsoft 365 E3 (podstawowe), E5 (zaawansowane)
Blokuje akcjęNie (chyba że mandatory labeling)Nie — jedynie rekomendujeNie — nakłada etykietę retrospektywnieTak — może zablokować wysyłkę/udostępnienie
SzyfrowanieTak (jeśli skonfigurowane w etykiecie)Tak (jeśli skonfigurowane w etykiecie)Tak (jeśli skonfigurowane w etykiecie)Nie bezpośrednio — blokuje/ostrzega
Główne zastosowanieCodzienna praca użytkownikówWspomaganie użytkownika, redukcja błędówRetrospektywne oznaczanie istniejących danychOchrona przed wyciekiem w czasie rzeczywistym

Najczęstsze pułapki konfiguracyjne — czego unikać

  1. Zbyt wiele polityk etykiet — Microsoft zaleca jak najmniej polityk (często wystarczy jedna na całą organizację). Wiele polityk utrudnia diagnostykę i prowadzi do konfliktów priorytetów.
  2. Brak grupy pilotowej — zawsze publikuj najpierw dla grupy testowej (np. 20-50 użytkowników IT), obserwuj przez tydzień, potem rozszerzaj.
  3. Etykiety z szyfrowaniem przed włączeniem SharePoint i OneDrive dla etykiet — jeśli nie włączysz tej integracji, pliki zaszyfrowane w SharePoint nie będą indeksowane, nie zadziała wyszukiwanie, eDiscovery ani Office for the Web.
  4. Usuwanie etykiet zamiast usuwania ich z polityki — usunięcie etykiety archiwizuje szablon ochrony; dokumenty zaszyfrowane tą etykietą mogą przestać być otwieralne.
  5. Brak szkolenia użytkowników — mandatory labeling bez wytłumaczenia, co oznaczają etykiety, kończy się frustracją i losowym wybieraniem pierwszej etykiety z listy.

Częste pytania

Czym się różni modern label scheme od classic label scheme?

Modern label scheme (domyślny dla tenantów utworzonych po 1 października 2025) wprowadza label groups — możliwość grupowania etykiet w pionowe kategorie wyświetlane użytkownikowi, co poprawia czytelność przy większej liczbie etykiet. Classic scheme tego nie obsługuje. Ponadto modern scheme pozwala na dodanie domyślnej podetykiety dla etykiety nadrzędnej/grupy (przez PowerShell DefaultSubLabelId) — użytkownik jednym kliknięciem stosuje etykietę z domyślną podkategorią. Migracja z classic do modern jest dostępna w portalu Purview.

Czy etykiety poufności działają na komputerach bez połączenia z internetem?

Tak, ale z ograniczeniami. Na Windows użytkownik może zastosować etykietę z szyfrowaniem offline; na macOS, iOS i Androidzie wymagane jest połączenie. Otwieranie zaszyfrowanych dokumentów offline jest możliwe, jeśli w etykiecie ustawiono Allow offline access na wartość inną niż "Never" — domyślnie licencja użycia RMS jest ważna 30 dni. Po tym okresie użytkownik musi połączyć się z internetem, aby ponownie uwierzytelnić się w usłudze Azure RMS.

Jak działa Double Key Encryption i kiedy warto ją wdrożyć?

Double Key Encryption (DKE) to funkcja, w której drugi klucz szyfrujący jest przechowywany poza infrastrukturą Microsoft (w Twoim własnym środowisku on-premises lub w chmurze). Microsoft nigdy nie ma dostępu do tego drugiego klucza, co oznacza, że nawet na żądanie organów ścigania Microsoft nie jest w stanie odszyfrować chronionej zawartości. DKE jest wymagane głównie w sektorach regulowanych (bankowość, obronność, energetyka) i przy wymogu geograficznej suwerenności kluczy. Wdrożenie wymaga dedykowanej usługi DKE, a po zapisaniu etykiety z DKE nie można jej już edytować.

Czy mogę używać Purview Information Protection z Office w wersji perpetual (np. Office 2019, Office 2021 LTSC)?

Nie. Etykiety poufności (sensitivity labels) są wspierane wyłącznie w subskrypcyjnych wersjach Microsoft 365 Apps. Wersje standalone/perpetual (Office 2019, Office 2021 LTSC) nie wyświetlają przycisku Sensitivity i nie obsługują wbudowanego etykietowania. Jedynym wyjątkiem jest możliwość otwierania już oznaczonych i zaszyfrowanych dokumentów w tych wersjach — szyfrowanie RMS jest respektowane, ale użytkownik nie widzi nazwy etykiety ani nie może jej zmienić.

Jak działa dynamiczny znak wodny (dynamic watermark) i czym różni się od zwykłego watermarku?

Dynamiczny znak wodny to ustawienie szyfrowania, które po otwarciu dokumentu automatycznie wstawia na każdej stronie UPN (główną nazwę użytkownika, zwykle jego adres e-mail) osoby aktualnie przeglądającej plik. W przeciwieństwie do zwykłego watermarku (content marking), użytkownik nie może go ręcznie usunąć ani zmienić — wymaga to eksportu lub całkowitego zdjęcia etykiety. Dynamic watermark działa między tenantami (zewnętrzny odbiorca też widzi swój UPN), ale wymaga szyfrowania i zalecane jest ustawienie Allow offline access = Never. Office dla wersji, które jeszcze nie wspierają tej funkcji, odmówi otwarcia pliku, więc wdrażaj ją ostrożnie, testując na grupie pilotowej.

Co się stanie, gdy przez pomyłkę usunę etykietę z polityki lub całkowicie ją skasuję?

Usunięcie etykiety z polityki (ale pozostawienie jej w systemie) jest bezpieczne — etykieta przestaje być widoczna dla użytkowników, ale dokumenty już nią oznaczone zachowują etykietę i ochronę. Możesz ją zawsze przywrócić do polityki.

Usunięcie etykiety całkowicie (Delete) jest operacją wysokiego ryzyka. Szablon ochrony (RMS template) zostaje zarchiwizowany — istniejące zaszyfrowane dokumenty nadal można otworzyć, ale nie możesz już utworzyć nowej etykiety o tej samej nazwie. Dla dokumentów w SharePoint/OneDrive szyfrowanie jest usuwane przy następnym dostępie, a nazwa etykiety znika z kolumny "Sensitivity". Cały proces usuwania z kontenerów (Teams, SharePoint) trwa 48-72 godziny. W activity explorerze usunięte etykiety wyświetlają się jako GUID, nie jako czytelna nazwa.

Jakie są minimalne wymagania sprzętowe i sieciowe dla skanera on-premises?

Skaner Microsoft Purview Information Protection (on-premises scanner) wymaga:

  • Windows Server 2019/2022 z .NET Framework 4.8
  • Konto usługi z uprawnieniami odczytu i zapisu do skanowanych repozytoriów
  • Zainstalowanego Microsoft Purview Information Protection client (następca klienta AIP)
  • Zarejestrowanego węzła w Microsoft Entra ID
  • Otwartych portów wychodzących do chmury Microsoft: TCP 443 (HTTPS) do adresów *.protection.outlook.com, *.aadrm.com, login.microsoftonline.com

Skaner działa w trybie discovery (tylko wykrywanie — raport, co znalazł) oraz enforce (etykietowanie i szyfrowanie). Zalecana kolejność: najpierw discovery, analiza wyników, potem enforce.

Chcesz wdrożyć Purview w swojej organizacji? Zacznij od właściwych licencji

Konfiguracja Microsoft Purview Information Protection wymaga odpowiednich licencji Microsoft 365. Jeśli Twoja organizacja potrzebuje licencji Microsoft 365 Business Premium, Microsoft 365 E3 lub Microsoft 365 E5 z pełnym dostępem do Purview, sprawdź ofertę licencji Microsoft 365 w KluczeSoft — znajdziesz tam legalne klucze do natychmiastowej aktywacji z polską fakturą VAT.

Artykuł ma charakter edukacyjny. Microsoft Purview, Microsoft 365, Azure Rights Management i pokrewne znaki towarowe należą do Microsoft Corporation. KluczeSoft nie jest autoryzowanym partnerem Microsoft — oferujemy legalne licencje w ramach wtórnego obrotu w UE (Dyrektywa 2009/24/WE, wyrok TSUE C-128/11 UsedSoft vs Oracle).

Najczęściej zadawane pytania

Modern label scheme (domyślny dla tenantów utworzonych po 1 października 2025) wprowadza **label groups** — możliwość grupowania etykiet w pionowe kategorie wyświetlane użytkownikowi, co poprawia czytelność przy większej liczbie etykiet. Classic scheme tego nie obsługuje. Ponadto modern scheme pozwala na dodanie **domyślnej podetykiety** dla etykiety nadrzędnej/grupy (przez PowerShell `DefaultSubLabelId`) — użytkownik jednym kliknięciem stosuje etykietę z domyślną podkategorią. Migracja z classic do modern jest dostępna w portalu Purview.
Tak, ale z ograniczeniami. Na Windows użytkownik może zastosować etykietę z szyfrowaniem offline; na macOS, iOS i Androidzie wymagane jest połączenie. Otwieranie zaszyfrowanych dokumentów offline jest możliwe, jeśli w etykiecie ustawiono **Allow offline access** na wartość inną niż "Never" — domyślnie licencja użycia RMS jest ważna 30 dni. Po tym okresie użytkownik musi połączyć się z internetem, aby ponownie uwierzytelnić się w usłudze Azure RMS.
Double Key Encryption (DKE) to funkcja, w której drugi klucz szyfrujący jest przechowywany **poza infrastrukturą Microsoft** (w Twoim własnym środowisku on-premises lub w chmurze). Microsoft nigdy nie ma dostępu do tego drugiego klucza, co oznacza, że nawet na żądanie organów ścigania Microsoft nie jest w stanie odszyfrować chronionej zawartości. DKE jest wymagane głównie w sektorach regulowanych (bankowość, obronność, energetyka) i przy wymogu geograficznej suwerenności kluczy. Wdrożenie wymaga dedykowanej usługi DKE, a po zapisaniu etykiety z DKE **nie można jej już edytować**.
Nie. Etykiety poufności (sensitivity labels) są wspierane **wyłącznie** w subskrypcyjnych wersjach Microsoft 365 Apps. Wersje standalone/perpetual (Office 2019, Office 2021 LTSC) nie wyświetlają przycisku Sensitivity i nie obsługują wbudowanego etykietowania. Jedynym wyjątkiem jest możliwość **otwierania** już oznaczonych i zaszyfrowanych dokumentów w tych wersjach — szyfrowanie RMS jest respektowane, ale użytkownik nie widzi nazwy etykiety ani nie może jej zmienić.
Dynamiczny znak wodny to ustawienie szyfrowania, które po otwarciu dokumentu automatycznie wstawia na każdej stronie **UPN (główną nazwę użytkownika, zwykle jego adres e-mail)** osoby aktualnie przeglądającej plik. W przeciwieństwie do zwykłego watermarku (content marking), użytkownik **nie może go ręcznie usunąć ani zmienić** — wymaga to eksportu lub całkowitego zdjęcia etykiety. Dynamic watermark działa między tenantami (zewnętrzny odbiorca też widzi swój UPN), ale wymaga szyfrowania i zalecane jest ustawienie `Allow offline access = Never`. Office dla wersji, które jeszcze nie wspierają tej funkcji, **odmówi otwarcia pliku**, więc wdrażaj ją ostrożnie, testując na grupie pilotowej.
**Usunięcie etykiety z polityki** (ale pozostawienie jej w systemie) jest bezpieczne — etykieta przestaje być widoczna dla użytkowników, ale dokumenty już nią oznaczone zachowują etykietę i ochronę. Możesz ją zawsze przywrócić do polityki. **Usunięcie etykiety całkowicie** (Delete) jest operacją wysokiego ryzyka. Szablon ochrony (RMS template) zostaje zarchiwizowany — istniejące zaszyfrowane dokumenty nadal można otworzyć, ale **nie możesz już utworzyć nowej etykiety o tej samej nazwie**. Dla dokumentów w SharePoint/OneDrive szyfrowanie jest usuwane przy następnym dostępie, a nazwa etykiety znika z kolumny "Sensitivity". Cały proces usuwania z kontenerów (Teams, SharePoint) trwa 48-72 godzin
Skaner Microsoft Purview Information Protection (on-premises scanner) wymaga: - **Windows Server 2019/2022** z .NET Framework 4.8 - Konto usługi z uprawnieniami **odczytu i zapisu** do skanowanych repozytoriów - Zainstalowanego **Microsoft Purview Information Protection client** (następca klienta AIP) - Zarejestrowanego węzła w Microsoft Entra ID - Otwartych portów wychodzących do chmury Microsoft: **TCP 443** (HTTPS) do adresów `*.protection.outlook.com`, `*.aadrm.com`, `login.microsoftonline.com` Skaner działa w trybie **discovery** (tylko wykrywanie — raport, co znalazł) oraz **enforce** (etykietowanie i szyfrowanie). Zalecana kolejność: najpierw discovery, analiza wyników, potem enforce.

Czy ten artykuł był pomocny?