Sdílet prostřednictvím


Nejčastější dotazy týkající se ochrany dat ve službě Azure Information Protection

Máte dotaz týkající se služby ochrany dat, Azure Rights Management, ze služby Azure Information Protection? Podívejte se, jestli je tady zodpovězená.

Musí být soubory v cloudu, aby byly chráněné službou Azure Rights Management?

Ne, toto je běžná mylná představa. Služba Azure Rights Management (a Microsoft) nezobrazuje ani neukládá vaše data v rámci procesu ochrany informací. Informace, které chráníte, se nikdy neodesílají ani neukládají v Azure, pokud je explicitně neukládáte v Azure nebo nepoužíváte jinou cloudovou službu, která je ukládá do Azure.

Další informace najdete v tématu Jak funguje Azure RMS? Pod kapotou pochopit, jak tajný vzorec cola, který je vytvořen a uložen místně, je chráněn službou Azure Rights Management, ale zůstává místně.

Jaký je rozdíl mezi šifrováním a šifrováním služby Azure Rights Management v jiných cloudových službách Microsoftu?

Microsoft poskytuje několik technologií šifrování, které umožňují chránit vaše data pro různé a často doplňkové scénáře. Microsoft 365 například nabízí šifrování neaktivních uložených dat uložených v Microsoftu 365, služba Azure Rights Management ze služby Azure Information Protection nezávisle šifruje vaše data, aby byla chráněná bez ohledu na to, kde se nachází nebo jak se přenáší.

Tyto technologie šifrování doplňují a používají je, vyžadují jejich povolení a konfiguraci nezávisle na sobě. Když to uděláte, můžete mít možnost použít vlastní klíč pro šifrování, scénář označovaný také jako BYOK. Povolení funkce BYOK pro jednu z těchto technologií nemá vliv na ostatní. Můžete například použít BYOK pro Azure Information Protection a nepoužívat BYOK pro jiné technologie šifrování a naopak. Klíče používané těmito různými technologiemi můžou být stejné nebo odlišné v závislosti na tom, jak nakonfigurujete možnosti šifrování pro každou službu.

Můžu teď použít BYOK s Exchange Online?

Ano, funkce BYOK teď můžete používat s Exchangem Online, když budete postupovat podle pokynů v tématu Nastavení nových funkcí šifrování zpráv Microsoftu 365 založených na službě Azure Information Protection. Tyto pokyny umožňují nové funkce Exchange Online, které podporují používání BYOK pro Azure Information Protection a nové šifrování zpráv Office 365.

Další informace o této změně najdete v blogovém oznámení: Šifrování zpráv Office 365 s novými možnostmi

Existuje sada Management Pack nebo podobný mechanismus monitorování konektoru RMS?

Přestože konektor Rights Management do protokolu událostí protokoluje informace, upozornění a chybové zprávy, není k dispozici sada Management Pack, která zahrnuje monitorování těchto událostí. Seznam událostí a jejich popisů ale obsahuje další informace, které vám pomůžou provést nápravné akce, jsou popsané v nástroji Monitorování konektoru Microsoft Rights Management.

Návody vytvořit novou vlastní šablonu na webu Azure Portal?

Vlastní šablony se přesunuly na web Azure Portal, kde je můžete dál spravovat jako šablony nebo je převést na popisky. Pokud chcete vytvořit novou šablonu, vytvořte nový popisek a nakonfigurujte nastavení ochrany dat pro Azure RMS. V rámci těchto témat se vytvoří nová šablona, ke které pak můžou přistupovat služby a aplikace, které se integrují se šablonami Rights Management.

Další informace o šablonách na webu Azure Portal najdete v tématu Konfigurace a správa šablon pro Azure Information Protection.

Dokument jsem zamknutý a teď chci změnit práva na používání nebo přidat uživatele – musím dokument znovu chránit?

Pokud byl dokument chráněný pomocí popisku nebo šablony, není nutné dokument znovu chránit. Upravte popisek nebo šablonu provedením změn práv k používání nebo přidáním nových skupin (nebo uživatelů) a uložte tyto změny:

  • Pokud uživatel nemá přístup k dokumentu před provedením změn, změny se projeví hned po otevření dokumentu.

  • Když už uživatel k dokumentu přistupuje, projeví se tyto změny, když vyprší platnost licence k použití. Znovunastavení ochrany dokumentu pouze v případě, že nemůžete počkat na vypršení platnosti licence k použití. Opětovná ochrana efektivně vytvoří novou verzi dokumentu, a proto novou licenci na použití pro uživatele.

Pokud jste už nakonfigurovali skupinu pro požadovaná oprávnění, můžete změnit členství ve skupině tak, aby zahrnovala nebo vyloučila uživatele a není nutné měnit popisek nebo šablonu. Než se změny projeví, může dojít k malému zpoždění, protože členství ve skupinách je službou Azure Rights Management uložené v mezipaměti .

Pokud byl dokument chráněn pomocí vlastních oprávnění, nemůžete změnit oprávnění pro existující dokument. Dokument musíte znovu chránit a zadat všechny uživatele a všechna práva k používání, která jsou požadována pro tuto novou verzi dokumentu. Pokud chcete chráněný dokument znovu chránit, musíte mít právo úplné řízení na používání.

Tip: Pokud chcete zkontrolovat, jestli byl dokument chráněný šablonou nebo pomocí vlastního oprávnění, použijte rutinu PowerShellu Get-AIPFileStatus . Vždy se zobrazí popis šablony Pro vlastní oprávnění s jedinečným ID šablony, které se nezobrazuje při spuštění get-RMSTemplate.

Mám hybridní nasazení Exchange s některými uživateli na Exchangi Online a jiných na Exchange Serveru – je to podporováno službou Azure RMS?

Naprosto, a to je hezké, že uživatelé můžou bezproblémově chránit a využívat chráněné e-maily a přílohy v obou nasazeních Exchange. Pro tuto konfiguraci aktivujte Azure RMS a povolte IRM pro Exchange Online a pak nasaďte a nakonfigurujte rms Connector pro Exchange Server.

Pokud tuto ochranu používám pro produkční prostředí, je moje společnost v řešení uzamčená nebo riskuji ztrátu přístupu k obsahu, který jsme chránili pomocí Azure RMS?

Ne, vždy budete mít kontrolu nad svými daty a budete k němu mít přístup i v případě, že se rozhodnete službu Azure Rights Management už používat. Další informace najdete v tématu Vyřazení z provozu a deaktivace služby Azure Rights Management.

Můžu určit, kteří z uživatelů můžou azure RMS používat k ochraně obsahu?

Ano, služba Azure Rights Management má pro tento scénář ovládací prvky onboardingu uživatelů. Další informace najdete v části Konfigurace ovládacích prvků onboardingu pro fázované nasazení v článku Aktivace služby ochrany z azure Information Protection .

Můžu uživatelům zabránit ve sdílení chráněných dokumentů s konkrétními organizacemi?

Jednou z největších výhod používání služby Azure Rights Management pro ochranu dat je to, že podporuje spolupráci mezi firmami, aniž byste museli konfigurovat explicitní vztahy důvěryhodnosti pro každou partnerskou organizaci, protože se o ověřování postará Microsoft Entra ID.

Neexistuje žádná možnost správy, která by uživatelům bránila v bezpečném sdílení dokumentů s konkrétními organizacemi. Chcete například zablokovat organizaci, které nedůvěřujete nebo která má konkurenční firmu. Zabránění službě Azure Rights Management v odesílání chráněných dokumentů uživatelům v těchto organizacích by nemělo smysl, protože uživatelé pak budou sdílet své dokumenty bez ochrany, což je pravděpodobně poslední věc, kterou chcete v tomto scénáři provést. Například nebudete moct identifikovat, kdo sdílí důvěrné dokumenty společnosti s uživateli v těchto organizacích, které můžete udělat, když je dokument (nebo e-mail) chráněný službou Azure Rights Management.

Když sdílím chráněný dokument s někým mimo mou společnost, jak se tento uživatel ověří?

Služba Azure Rights Management ve výchozím nastavení používá účet Microsoft Entra a přidruženou e-mailovou adresu pro ověřování uživatelů, což umožňuje bezproblémovou spolupráci mezi firmami pro správce. Pokud druhá organizace používá služby Azure, uživatelé už mají účty v Microsoft Entra ID, i když se tyto účty vytvoří a spravují místně a pak se synchronizují s Azure. Pokud má organizace Microsoft 365, používá tato služba pro uživatelské účty také ID Microsoft Entra. Pokud organizace uživatele nemá spravované účty v Azure, můžou se uživatelé zaregistrovat ke službě RMS pro jednotlivce, což vytvoří nespravovaného tenanta a adresář Azure pro organizaci s účtem uživatele, aby se tento uživatel (a další uživatelé) pak mohl ověřit pro službu Azure Rights Management.

Metoda ověřování pro tyto účty se může lišit v závislosti na tom, jak správce v jiné organizaci nakonfiguroval účty Microsoft Entra. Mohou například použít hesla vytvořená pro tyto účty, federaci nebo hesla vytvořená ve službě Doména služby Active Directory Services a pak synchronizovat s ID Microsoft Entra.

Další metody ověřování:

  • Pokud chráníte e-mail s přílohou dokumentu Office pro uživatele, který nemá účet v Microsoft Entra ID, metoda ověřování se změní. Služba Azure Rights Management je federovaná s některými oblíbenými zprostředkovateli sociálních identit, jako je Gmail. Pokud je poskytovatel e-mailu uživatele podporovaný, může se uživatel přihlásit k této službě a jeho poskytovatel e-mailu je zodpovědný za jejich ověření. Pokud poskytovatel e-mailu uživatele není podporovaný nebo jako předvolba, může uživatel požádat o jednorázové heslo, které ho ověří a zobrazí e-mail s chráněným dokumentem ve webovém prohlížeči.

  • Azure Information Protection může používat účty Microsoft pro podporované aplikace. V současné době ne všechny aplikace můžou otevřít chráněný obsah, když se k ověřování používá účet Microsoft. Další informace

Můžu do vlastních šablon přidat externí uživatele (lidi mimo moji společnost)?

Ano. Nastavení ochrany, které můžete nakonfigurovat na webu Azure Portal, vám umožní přidat oprávnění uživatelům a skupinám mimo vaši organizaci a dokonce i všem uživatelům v jiné organizaci. Může být užitečné odkazovat na podrobný příklad zabezpečené spolupráce na dokumentech pomocí služby Azure Information Protection.

Mějte na paměti, že pokud máte popisky Azure Information Protection, musíte nejdřív před konfigurací těchto nastavení ochrany na webu Azure Portal převést vlastní šablonu na popisek. Další informace najdete v tématu Konfigurace a správa šablon pro Azure Information Protection.

Další možností je přidat externí uživatele do vlastních šablon (a popisků) pomocí PowerShellu. Tato konfigurace vyžaduje použití objektu definice práv, který používáte k aktualizaci šablony:

  1. Pomocí rutiny New-AipServiceRightsDefinition vytvořte proměnnou zadáním externích e-mailových adres a jejich práv v objektu definice práv.

  2. Tuto proměnnou zadejte do parametru RightsDefinition pomocí rutiny Set-AipServiceTemplateProperty .

    Když přidáte uživatele do existující šablony, musíte kromě nových uživatelů definovat objekty definice práv pro stávající uživatele v šablonách. V tomto scénáři můžete najít užitečný příklad 3: Přidání nových uživatelů a práv do vlastní šablony v části Příklady pro rutinu.

Jaký typ skupin můžu používat se službou Azure RMS?

Ve většině scénářů můžete použít libovolný typ skupiny v ID Microsoft Entra s e-mailovou adresou. Toto pravidlo se vždy použije při přiřazování práv k používání, ale existují určité výjimky pro správu služby Azure Rights Management. Další informace najdete v tématu Požadavky služby Azure Information Protection pro skupinové účty.

Návody odeslat chráněný e-mail na účet Gmail nebo Hotmail?

Když používáte Exchange Online a službu Azure Rights Management, stačí uživateli poslat e-mail jako chráněnou zprávu. Můžete například vybrat nové tlačítko Zamknout na panelu příkazů v Outlooku na webu, použít tlačítko Nepřeposílat nebo možnost nabídky. Nebo můžete vybrat popisek služby Azure Information Protection, který automaticky použije možnost Nepřeposílat za vás, a klasifikuje e-mail.

Příjemce uvidí možnost přihlásit se ke svému účtu Gmail, Yahoo nebo Microsoft a pak si může přečíst chráněný e-mail. Alternativně můžou zvolit možnost jednorázového hesla pro čtení e-mailu v prohlížeči.

Aby bylo možné tento scénář podporovat, musí být pro službu Azure Rights Management povolen Exchange Online a nové funkce šifrování zpráv Office 365. Další informace o této konfiguraci najdete v tématu Exchange Online: Konfigurace IRM.

Další informace o nových funkcích, které zahrnují podporu všech e-mailových účtů na všech zařízeních, najdete v následujícím blogovém příspěvku: Oznámení nových funkcí dostupných v Šifrování zpráv Office 365.

Jaká zařízení a jaké typy souborů podporuje Azure RMS?

Služba Azure Rights Management může podporovat všechny typy souborů. Pro text, obrázek, systém Microsoft Office (wordové, excelové, powerpointové) soubory, .pdf soubory a některé jiné typy souborů aplikací poskytuje Azure Rights Management nativní ochranu, která zahrnuje šifrování i vynucování práv (oprávnění). Pro všechny ostatní aplikace a typy souborů poskytuje obecná ochrana zapouzdření souborů a ověřování k ověření, jestli má uživatel oprávnění k otevření souboru.

Seznam přípon názvů souborů, které služba Azure Rights Management nativně podporuje, najdete v tématu Typy souborů podporované klientem služby Azure Information Protection. Přípony názvů souborů, které nejsou uvedené, jsou podporovány pomocí klienta služby Azure Information Protection, který na tyto soubory automaticky aplikuje obecnou ochranu.

Když otevřu dokument Office chráněný službou RMS, stane se přidružený dočasný soubor také chráněný službou RMS?

Ne. V tomto scénáři přidružený dočasný soubor neobsahuje data z původního dokumentu, ale místo toho jenom to, co uživatel zadá při otevření souboru. Na rozdíl od původního souboru není dočasný soubor zřejmě určený ke sdílení a zůstal by na zařízení chráněný místními bezpečnostními prvky, jako je BitLocker a EFS.

Zdá se, že funkce, kterou hledám, nefunguje s chráněnými knihovnami SharePointu – je plánovaná podpora mojí funkce?

Microsoft SharePoint v současné době podporuje dokumenty chráněné službou RMS pomocí knihoven chráněných technologií IRM, které nepodporují šablony služby Rights Management, sledování dokumentů a některé další funkce. Další informace najdete v části SharePoint v Microsoftu 365 a SharePoint Serveru v článku o aplikace Office lications a službách.

Pokud vás zajímá konkrétní funkce, která ještě není podporovaná, nezapomeňte sledovat oznámení na blogu Enterprise Mobility and Security.

Návody nakonfigurovat One Drive na SharePointu, aby uživatelé mohli bezpečně sdílet své soubory s lidmi uvnitř společnosti i mimo ni?

Ve výchozím nastavení jako správce Microsoftu 365 toto nastavení nenakonfigurujete; uživatelé to dělají.

Stejně jako správce sharepointového webu povolí a nakonfiguruje IRM pro knihovnu SharePointu, kterou vlastní, je OneDrive určený pro uživatele, aby povolil a nakonfigurovali IRM pro vlastní knihovnu OneDrivu. Můžete to ale udělat pomocí PowerShellu. Pokyny najdete v SharePointu v Microsoftu 365 a OneDrivu: Konfigurace IRM.

Máte nějaké tipy nebo triky pro úspěšné nasazení?

Po dohledu nad mnoha nasazeními a naslouchání našim zákazníkům, partnerům, konzultantům a technikům podpory – jedním z největších tipů, které můžeme předat ze zkušeností: Návrh a nasazení jednoduchých zásad.

Vzhledem k tomu, že Azure Information Protection podporuje bezpečné sdílení s kýmkoli, můžete si dovolit být ambiciózní s dosahem ochrany dat. Při konfiguraci omezení používání práv ale buďte konzervativnější. U mnoha organizací největší obchodní dopad spočívá v zabránění úniku dat omezením přístupu k lidem ve vaší organizaci. Samozřejmě, můžete získat mnohem podrobnější než to, pokud potřebujete – zabránit uživatelům v tisku, úpravách atd. Ale ponechte podrobnější omezení jako výjimku pro dokumenty, které skutečně potřebují vysokou úroveň zabezpečení, a neimplementujte tato restriktivní práva na používání v jednom dni, ale naplánujte více fázovaný přístup.

Jak znovu získáme přístup k souborům chráněným zaměstnancem, který teď opustil organizaci?

Použijte funkci superuživatele, která uděluje oprávnění k používání úplné kontroly autorizovaným uživatelům pro všechny dokumenty a e-maily chráněné vaším tenantem. Superuživatelé můžou tento chráněný obsah vždy číst a v případě potřeby ho odebrat nebo znovu chránit pro různé uživatele. Tato stejná funkce umožňuje autorizovaným službám indexovat a kontrolovat soubory podle potřeby.

Pokud je váš obsah uložený na SharePointu nebo OneDrivu, můžou správci spustit rutinu Unlock-SensitivityLabelEncryptedFile a odebrat popisek citlivosti i šifrování. Další informace najdete v dokumentaci k Microsoftu 365.

Může služba Rights Management zabránit snímkům obrazovky?

Tím, že službě Rights Management neudělí právo používat kopírování, může zabránit zachycení obrazovky z mnoha běžně používaných nástrojů pro zachycení obrazovky na platformách Windows (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile a Windows 11). Zařízení s iOSem, Mac a Androidem ale neumožňují žádné aplikaci zabránit zachycení obrazovky. Prohlížeče na jakémkoli zařízení navíc nemůžou zabránit zachycení obrazovky. Použití prohlížeče zahrnuje Outlook na webu a Office pro web.

Poznámka:

Teď zavádíme aktuální kanál (Preview): V Office pro Mac, Wordu, Excelu a PowerPointu (ale ne v Outlooku) teď podporují práva na používání Rights Management, aby se zabránilo zachycení obrazovky.

Zabránění zachycení obrazovky může pomoct zabránit náhodnému nebo negligentnímu zveřejnění důvěrných nebo citlivých informací. Existuje ale mnoho způsobů, jak může uživatel sdílet data zobrazená na obrazovce a pořízení snímku obrazovky je jen jedna metoda. Například záměr uživatele o sdílení zobrazených informací může pořídit fotku pomocí telefonu s fotoaparátem, přetypovat data nebo je jednoduše předat někomu.

Jak ukazují tyto příklady, i když všechny platformy a veškerý software podporovaly rozhraní API služby Rights Management k blokování snímků obrazovky, technologie sama nemůže uživatelům zabránit ve sdílení dat, která by neměli. Rights Management vám může pomoct zabezpečit důležitá data pomocí zásad autorizace a použití, ale toto podnikové řešení správy přístupových práv by se mělo používat s jinými ovládacími prvky. Implementujte například fyzické zabezpečení, pečlivě monitorujte a monitorujte uživatele, kteří mají autorizovaný přístup k datům vaší organizace, a investujte do vzdělávání uživatelů, aby uživatelé pochopili, jaká data by se neměla sdílet.

Jaký je rozdíl mezi uživatelem, který chrání e-mail pomocí funkce Nepřeposílat, a šablonou, která neobsahuje právo Předat dál?

Navzdory názvu a vzhledu není přeposílání pravý opak ani šablona. Ve skutečnosti se jedná o sadu práv, která kromě omezení přeposílání e-mailů zahrnují omezení kopírování, tisku a ukládání e-mailů mimo poštovní schránku. Práva se dynamicky použijí na uživatele prostřednictvím zvolených příjemců a ne staticky přiřazená správcem. Další informace najdete v části Nepřeposílat e-maily v části Konfigurace práv k používání pro Azure Information Protection.

Jaký je rozdíl mezi FCI Windows Serveru a skenerem služby Azure Information Protection?

Infrastruktura klasifikace souborů windows Serveru byla historicky možností klasifikovat dokumenty a pak je chránit pomocí konektoru Rights Management (jenom dokumenty Office) nebo skriptu PowerShellu (všechny typy souborů).

Teď doporučujeme použít skener služby Azure Information Protection. Skener používá klienta služby Azure Information Protection a zásady služby Azure Information Protection k označení dokumentů (všech typů souborů), aby se tyto dokumenty pak klasifikují a volitelně chránily.

Hlavní rozdíly mezi těmito dvěma řešeními:

Windows Server FCI Skener Azure Information Protection
Podporovaná úložiště dat Místní složky na Windows Serveru – Sdílené složky Windows a úložiště připojené k síti

– SharePoint Server 2016 a SharePoint Server 2013. SharePoint Server 2010 je také podporován pro zákazníky, kteří mají rozšířenou podporu pro tuto verzi SharePointu.
Provozní režim Skutečný čas Systematicky prochází úložiště dat jednou nebo opakovaně.
Podporované typy souborů – Ve výchozím nastavení jsou chráněné všechny typy souborů.

– Konkrétní typy souborů mohou být vyloučeny z ochrany úpravou registru.
Podpora typů souborů:

- Soubory Office a dokumenty PDF jsou ve výchozím nastavení chráněné

- Další typy souborů mohou být zahrnuty pro ochranu úpravou registru