Microsoft Purview DLP zapobiega nieautoryzowanemu udostępnianiu danych wrażliwych (blokuje wycieki w czasie rzeczywistym), natomiast Azure Information Protection (AIP) — obecnie w pełni zintegrowane z Microsoft Purview Information Protection — historycznie odpowiadało za klasyfikowanie i szyfrowanie dokumentów etykietami. Rozróżnienie jest kluczowe: DLP to ochrona przed wyciekiem w ruchu, a etykiety poufności (dawniej AIP) to ochrona na pliku, niezależnie od tego, gdzie plik trafi. Od 2024 roku klasyczny klient AIP został całkowicie zastąpiony przez klienta Microsoft Purview Information Protection, a sama marka AIP przeszła do historii — wszystkie funkcje żyją teraz pod jednym dachem portalu Microsoft Purview.
W skrócie
- AIP (Azure Information Protection) to już nazwa historyczna — od 2022 r. funkcje klasyfikacji i szyfrowania przeniesiono do Microsoft Purview Information Protection
- Microsoft Purview DLP i etykiety poufności to dwa różne, uzupełniające się mechanizmy: DLP blokuje wycieki podczas akcji użytkownika, etykiety chronią sam plik
- Klasyczny klient AIP został wycofany; od 2024 r. jedynym wspieranym klientem jest Microsoft Purview Information Protection client
- Skaner AIP został zastąpiony przez Microsoft Purview Information Protection scanner — działa na Windows Server, etykietuje zasoby on-premises
- Migracja z AIP na Purview jest w dużej mierze automatyczna — etykiety i zasady przechodzą bez utraty konfiguracji
- AIP wykorzystywało usługę Azure Rights Management (Azure RMS) — ta usługa NADAL istnieje jako mechanizm szyfrowania w tle etykiet poufności Purview
- W 2026 roku całość zarządzania odbywa się w portalu Microsoft Purview compliance portal (compliance.microsoft.com)
Czym było Azure Information Protection (AIP)
Azure Information Protection to rozwiązanie Microsoftu wprowadzone w 2015 roku (jako następca Azure Rights Management), które umożliwiało organizacjom klasyfikowanie, etykietowanie i zabezpieczanie dokumentów oraz wiadomości e-mail na podstawie ich poufności. AIP składało się z trzech głównych komponentów:
| Komponent AIP | Co robił | Co go zastąpiło |
|---|---|---|
| Klasyfikacja i etykietowanie | Ręczne i automatyczne przypisywanie etykiet (Poufne, Tajne itp.) | Sensitivity labels w Microsoft Purview |
| Kreator etykiet AIP (dodatek Office) | Wstążka w Word/Excel/Outlook do nakładania etykiet | Wbudowane sensitivity labels w Office 365 — nie wymagają dodatku |
| Klient AIP (Unified Labeling) | Etykietowanie plików w Eksploratorze Windows, PowerShell, ochrona plików poza Office | Microsoft Purview Information Protection client |
| Skaner AIP | Automatyczne skanowanie i etykietowanie plików na udziałach sieciowych on-premises | Microsoft Purview Information Protection scanner |
| Usługa Azure Rights Management (RMS) | Szyfrowanie dokumentów + polityki dostępu (kto może otworzyć, edytować, drukować) | Azure RMS nadal działa jako silnik szyfrowania etykiet poufności Purview |
Dlaczego Microsoft wycofał markę AIP
Decyzja Microsoftu o konsolidacji pod marką Microsoft Purview (ogłoszenie: kwiecień 2022) wynikała z szerszej strategii ujednolicenia rozwiązań compliance: Information Protection, Data Loss Prevention, Data Lifecycle Management, eDiscovery, Insider Risk Management — wszystko w jednym portalu. AIP jako osobna marka i oddzielny portal (portal.azure.com → Azure Information Protection) zostały wycofane. Obecnie całość konfiguruje się przez Microsoft Purview portal (compliance.microsoft.com → Information Protection).
Czym jest Microsoft Purview DLP
Microsoft Purview Data Loss Prevention (DLP) to mechanizm zapobiegający przypadkowemu lub celowemu udostępnieniu danych wrażliwych poza organizację. DLP działa na zasadzie analizy treści w czasie rzeczywistym i egzekwowania polityk — nie nakłada trwałej ochrony na plik, tylko blokuje niedozwolone akcje.
DLP obejmuje następujące lokalizacje:
| Lokalizacja | Co monitoruje/blokuje |
|---|---|
| Exchange Online | E-maile zawierające dane wrażliwe wysyłane na zewnątrz |
| SharePoint Online / OneDrive | Pliki przechowywane i udostępniane z nieautoryzowanym dostępem |
| Microsoft Teams | Wiadomości czatu i kanałów z numerami kart, PESEL itp. |
| Urządzenia końcowe (Endpoint DLP) | Windows 10/11, macOS (3 najnowsze wersje) — kopiowanie na USB, wysyłanie przez przeglądarkę |
| Microsoft Edge for Business | Blokowanie wklejania danych wrażliwych do ChatGPT, Gemini, DeepSeek (funkcja w preview 2026) |
| Repozytoria on-premises | Udziały plikowe, SharePoint Server (przez skaner) |
| Microsoft 365 Copilot | Zapobieganie udostępnianiu danych wrażliwych w promptach Copilota (preview) |
Jak DLP podejmuje decyzje
DLP używa analizy głębokiej treści (deep content analysis), a nie prostego skanowania słów kluczowych. Silnik analizuje:
- Sensitive Information Types (SIT) — wbudowane wzorce dla 300+ typów danych (PESEL, NIP, karty kredytowe, IBAN, dane medyczne)
- Trainable classifiers — klasyfikatory uczone maszynowo, rozpoznające dokumenty podatkowe, umowy, CV
- Etykiety poufności — polityka DLP może reagować na pliki oznaczone konkretną etykietą (np. "Ściśle tajne")
- Słowa kluczowe i wyrażenia regularne — definiowane ręcznie
- Analiza kontekstu — np. "95 numerów PESEL w jednym e-mailu do odbiorcy spoza domeny"
Gdy polityka DLP wykryje naruszenie, może: pokazać użytkownikowi Policy Tip (ostrzeżenie w aplikacji), zablokować akcję z możliwością nadpisania przez użytkownika (z uzasadnieniem), zablokować bezwarunkowo lub — dla danych w spoczynku — przenieść plik do kwarantanny.
Porównanie: Microsoft Purview DLP vs AIP/etykiety poufności
| Kryterium | Microsoft Purview DLP | Etykiety poufności (dawniej AIP) |
|---|---|---|
| Cel | Zapobiegaj wyciekom danych w trakcie akcji użytkownika | Chroń dane niezależnie od lokalizacji (szyfrowanie + metadata) |
| Jak działa | Monitoruje i blokuje akcje w czasie rzeczywistym | Nakłada trwałą ochronę (szyfrowanie + rights management) na plik |
| Gdzie działa | Exchange, Teams, SharePoint, OneDrive, endpointy, Edge, Copilot | Pliki Office, PDF, obrazy, pliki tekstowe — ochrona podróżuje z plikiem |
| Metoda ochrony | Blokada przed wysłaniem / udostępnieniem | Szyfrowanie AES-256 + polityka dostępu (kto może otworzyć, edytować) |
| Trwałość ochrony | Ochrona tylko w momencie akcji — plik poza monitorowanym kanałem nie podlega DLP | Trwała — zaszyfrowany plik jest chroniony nawet poza organizacją |
| Działanie offline | Nie — wymaga połączenia z chmurą Microsoft 365 | Tak — plik pozostaje zaszyfrowany w trybie offline, wymaga uwierzytelnienia przy otwieraniu |
| Typy plików | Wszystkie objęte polityką (analiza treści) | Office, PDF, obrazy, tekst — natywne szyfrowanie lub .pfile (generyczne) |
| Szyfrowanie | Nie szyfruje plików (to zadanie etykiet) | Tak — poprzez Azure Rights Management |
| Watermarking / nagłówki | Nie | Tak — wizualne oznaczenia (stopka, nagłówek, znak wodny) |
| Raportowanie | Activity Explorer, alerty, Microsoft Defender XDR | Activity Explorer, logi audytu Azure RMS |
| Administracja | Microsoft Purview portal → Data Loss Prevention | Microsoft Purview portal → Information Protection → Sensitivity labels |
| Licencjonowanie | Microsoft 365 E3/E5, Microsoft 365 Business Premium, E5 Compliance | Microsoft 365 E3/E5, Microsoft 365 Business Premium (poziom funkcji zależy od SKU) |
Migracja z AIP do Microsoft Purview — co musisz wiedzieć
Co się zmieniło i kiedy
| Data | Wydarzenie |
|---|---|
| Kwiecień 2022 | Ogłoszenie marki Microsoft Purview — AIP staje się częścią Purview Information Protection |
| Marzec 2023 | Wycofanie dodatku AIP dla Office — sensitivity labels wbudowane w Office 365 jako zamiennik |
| Styczeń 2024 | Koniec wsparcia dla klasycznego klienta AIP — obowiązkowa migracja na Purview Information Protection client |
| Kwiecień 2024 | Portal Azure Information Protection (portal.azure.com) przestaje przyjmować nowe konfiguracje etykiet |
| 2025–2026 | Wszystkie funkcje dostępne wyłącznie przez Microsoft Purview portal |
Co przechodzi automatycznie
Dla organizacji korzystających z AIP (zwłaszcza w wariancie Unified Labeling — czyli AIP z etykietami opartymi na Microsoft 365 Sensitivity Labels):
- Etykiety i pod-etykiety — migrują automatycznie. Są już przechowywane w Microsoft 365 Security & Compliance Center; Purview jedynie zmienia interfejs zarządzania.
- Zasady publikowania etykiet (label policies) — przechodzą bez zmian.
- Konfiguracja szyfrowania (Azure RMS) — usługa RMS pozostaje nietknięta — to wciąż ten sam silnik szyfrowania.
- Skaner AIP — wymaga ręcznej aktualizacji do Microsoft Purview Information Protection scanner, ale konfiguracja skanowania pozostaje (repozytoria, reguły).
Migracja krok po kroku
- Sprawdź, z której wersji AIP korzystasz — klasyczny klient AIP czy Unified Labeling? Unified Labeling migruje praktycznie automatycznie. Jeśli nadal masz klasycznego klienta — najpierw przejdź na Unified Labeling.
- Zainstaluj Microsoft Purview Information Protection client — zastępuje klienta AIP. Instalator automatycznie wykrywa starego klienta i odinstalowuje dodatek AIP dla Office.
- Zaktualizuj skaner — pobierz najnowszą wersję Purview Information Protection scanner i przeprowadź upgrade (zachowuje konfigurację).
- Usuń stare polityki AIP (Azure Information Protection — Classic) — jeśli jakieś przetrwały, przenieś je ręcznie do Sensitivity Labels.
- Zweryfikuj działanie — przetestuj etykietowanie w Word/Excel/Outlook (etykiety wbudowane), etykietowanie w Eksploratorze Windows (przez Purview client), skaner on-premises.
Czego NIE przenosi Purview
- AIP Analytics — logi z klasycznego AIP (starsze niż 90 dni) nie są dostępne w nowym Activity Explorer.
- Custom permissions (ad-hoc) z klasycznego klienta AIP — teraz realizowane przez "Let users assign permissions" w ustawieniach etykiety poufności.
- Azure Information Protection — Classic labels — jeśli używałeś starych etykiet AIP (nie Unified Labeling), musisz je odtworzyć jako Sensitivity Labels.
Co wybrać: DLP, etykiety poufności, czy oba?
Wybierz Microsoft Purview DLP, gdy
- Chcesz blokować wysyłkę numerów kart kredytowych, PESEL, NIP przez e-mail, Teams lub kopiowanie na USB
- Potrzebujesz natychmiastowej reakcji — użytkownik dostaje ostrzeżenie zanim wykona akcję
- Zależy Ci na monitorowaniu ruchu do nieautoryzowanych aplikacji AI (ChatGPT, Gemini — DLP w Edge for Business, preview 2026)
- Chcesz widzieć raporty o wyciekach i badać incydenty w Microsoft Defender XDR
Wybierz Microsoft Purview Information Protection (etykiety poufności), gdy
- Klasyfikujesz dokumenty według poziomu poufności (Poufne, Tajne, Ściśle tajne)
- Chcesz, aby plik pozostał chroniony poza organizacją — nawet gdy odbiorca zapisze go na swoim komputerze
- Potrzebujesz szyfrowania end-to-end dokumentów i e-maili (Azure RMS + Microsoft Purview Message Encryption)
- Automatycznie etykietujesz repozytoria on-premises (skaner Purview)
W praktyce: używasz OBU
Te dwa mechanizmy są komplementarne. Najlepsze wdrożenie ochrony danych w organizacji wygląda tak:
- Etykiety poufności zapewniają trwałe zabezpieczenie pliku (szyfrowanie, rights management)
- DLP pilnuje, aby etykietowane (i nie tylko) pliki nie zostały wysłane tam, gdzie nie powinny
Przykład: dokument oznaczony etykietą "Ściśle tajne — Zarząd" jest zaszyfrowany i tylko członkowie grupy "Zarząd" mogą go otworzyć. Jednocześnie polityka DLP blokuje próbę wysłania go jako załącznika na adres Gmail — zanim plik opuści organizację.
Częste pytania
Czy Azure Information Protection (AIP) jeszcze istnieje?
Nie jako osobny produkt. Od 2022 roku funkcje AIP są w pełni zintegrowane z Microsoft Purview Information Protection. Stara nazwa "Azure Information Protection" nie jest już używana w dokumentacji Microsoftu ani w interfejsie administracyjnym. Fizycznie usługa Azure Rights Management (RMS) — która była sercem AIP — nadal działa i zapewnia szyfrowanie dla etykiet poufności w Purview.
Jaka jest różnica między AIP a Microsoft Purview Information Protection?
AIP było osobnym produktem z własnym portalem w Azure, własnym klientem Windows i dodatkiem Office. Microsoft Purview Information Protection to współczesny następca — te same funkcje (etykietowanie, klasyfikacja, szyfrowanie RMS), ale zarządzane przez portal compliance.microsoft.com, z klientem Purview (następca klienta AIP) i wbudowanymi etykietami w Office bez dodatku. Różnica polega na integracji i nazwie — fundament techniczny (Azure RMS) pozostał ten sam.
Czy migracja z AIP do Purview wymaga przerywania działania usług?
Nie. Usługa Azure RMS (szyfrowanie) działa nieprzerwanie przez cały czas migracji. Etykiety i zasady skonfigurowane w wariancie Unified Labeling są dostępne w portalu Purview automatycznie. Jedynym elementem wymagającym krótkiego okna wdrożeniowego jest aktualizacja klienta AIP → Purview Information Protection client oraz aktualizacja skanera — ale możesz to zrobić stopniowo (np. najpierw grupa pilotażowa użytkowników).
Czy Microsoft Purview DLP zastępuje etykiety poufności?
Nie. DLP i etykiety poufności to dwa odrębne mechanizmy, które się uzupełniają. DLP monitoruje ruch danych i blokuje niepożądane akcje w czasie rzeczywistym — nie szyfruje plików. Etykiety poufności trwale chronią pliki poprzez szyfrowanie i prawa dostępu. Co ważne, polityki DLP mogą używać etykiet poufności jako warunku — np. "zablokuj udostępnianie na zewnątrz każdego pliku z etykietą Ściśle tajne".
Jakie licencje są potrzebne do korzystania z Purview DLP i etykiet poufności?
Podstawowe etykiety poufności (bez automatycznego etykietowania i zaawansowanego szyfrowania) są dostępne w Microsoft 365 Business Premium i Microsoft 365 E3. Pełna funkcjonalność DLP (Endpoint DLP, DLP dla Teams, zaawansowane klasyfikatory) oraz automatyczne etykietowanie wymagają Microsoft 365 E5 lub Microsoft 365 E5 Compliance jako dodatek. Dla małych firm startujących z ochroną informacji odpowiednim wyborem jest Microsoft 365 Business Premium (ok. 20 EUR/os./miesiąc).
Czy mogę nadal używać starego klienta AIP w 2026 roku?
Nie. Klasyczny klient AIP i klient AIP Unified Labeling zostały oficjalnie wycofane ze wsparcia w styczniu 2024 roku. Microsoft nie wydaje już poprawek bezpieczeństwa dla tych klientów. Jedynym wspieranym klientem jest Microsoft Purview Information Protection client, dostępny do pobrania z Microsoft Download Center. Kontynuowanie używania starego klienta AIP stanowi ryzyko bezpieczeństwa i zgodności.
Czy dane zaszyfrowane przez stare AIP będą czytelne po migracji?
Tak. Ponieważ Azure Rights Management (RMS) — silnik szyfrowania — nie zmienił się, wszystkie dokumenty zaszyfrowane historycznie przez AIP pozostają w pełni czytelne po migracji do Purview. Klucze szyfrowania, szablony RMS i polityki dostępu działają identycznie. Zmienił się tylko interfejs zarządzania i klient na stacji roboczej.
Ochrona danych w organizacji — od czego zacząć?
Jeśli dopiero budujesz strategię ochrony informacji w swojej firmie, najprościej zacząć od wdrożenia Microsoft 365 Business Premium — obejmuje on zarówno podstawowe etykiety poufności, jak i DLP dla poczty e-mail i dokumentów w chmurze. Dla organizacji, które potrzebują licencjonowania samego pakietu Office do pracy z dokumentami chronionymi etykietami:
→ Microsoft Office 2024 Professional Plus — legalne klucze od 89 zł
KluczeSoft.pl jest niezależnym sprzedawcą oprogramowania Microsoft i nie jest powiązany z Microsoft Corporation.