Felhasználók és csoportok előkészítése az Azure Information Protectionhez
Feljegyzés
Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?
Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.
A Microsoft Purview információvédelem ügyfél (a bővítmény nélkül) általánosan elérhető.
Mielőtt üzembe helyezené az Azure Information Protectiont a szervezetében, győződjön meg arról, hogy rendelkezik a szervezet bérlőjéhez tartozó Microsoft Entra-azonosítóban lévő felhasználókhoz és csoportokhoz tartozó fiókkal.
Ezeket a fiókokat különböző módokon hozhatja létre a felhasználók és csoportok számára, például:
A felhasználókat a Microsoft 365 Felügyeleti központ és a csoportokat az Exchange Online Felügyeleti központban hozhatja létre.
A felhasználókat és csoportokat az Azure Portalon hozhatja létre.
A felhasználókat és csoportokat az Azure AD PowerShell és az Exchange Online parancsmagok használatával hozhatja létre.
Létrehozhatja a felhasználókat és csoportokat a helyi Active Directory, és szinkronizálhatja őket a Microsoft Entra-azonosítóval.
Létrehozhatja a felhasználókat és csoportokat egy másik könyvtárban, és szinkronizálhatja őket a Microsoft Entra-azonosítóval.
Ha a lista első három metódusával hoz létre felhasználókat és csoportokat, egy kivétellel automatikusan létrejönnek a Microsoft Entra-azonosítóban, és az Azure Information Protection közvetlenül használhatja ezeket a fiókokat. Sok vállalati hálózat azonban helyszíni címtárat használ a felhasználók és csoportok létrehozásához és kezeléséhez. Az Azure Information Protection nem tudja közvetlenül használni ezeket a fiókokat; szinkronizálnia kell őket a Microsoft Entra-azonosítóval.
Az előző bekezdésben említett kivétel az Exchange Online-hoz létrehozható dinamikus terjesztési listák. A statikus terjesztési listákkal ellentétben ezek a csoportok nem replikálódnak a Microsoft Entra-azonosítóba, ezért az Azure Information Protection nem tudja használni.
Felhasználók és csoportok használata az Azure Information Protectionben
A felhasználók és csoportok Azure Information Protection szolgáltatással való használatára három forgatókönyv létezik:
Címkék felhasználókhoz való hozzárendeléséhez az Azure Information Protection-szabályzat konfigurálásakor, hogy a címkék a dokumentumokra és e-mailekre alkalmazhatók legyenek. Csak rendszergazdák választhatják ki ezeket a felhasználókat és csoportokat:
- A rendszer automatikusan hozzárendeli az alapértelmezett Azure Information Protection-szabályzatot a bérlő Microsoft Entra-azonosítójában szereplő összes felhasználóhoz. A hatókörrel rendelkező szabályzatok használatával azonban további címkéket is hozzárendelhet a megadott felhasználókhoz vagy csoportokhoz.
Használati jogosultságok és hozzáférési vezérlők hozzárendeléséhez, amikor a Azure Tartalomvédelmi szolgáltatások szolgáltatást használja a dokumentumok és e-mailek védelmére. Rendszergazda felhasználók és felhasználók kiválaszthatják ezeket a felhasználókat és csoportokat:
A használati jogosultságok határozzák meg, hogy a felhasználó megnyithat-e egy dokumentumot vagy e-mailt, és hogyan használhatja azt. Például azt, hogy csak elolvassák, vagy elolvassák és kinyomtatják, vagy elolvassák és szerkesztik.
A hozzáférés-vezérlések tartalmazzák a lejárati dátumot, valamint azt, hogy szükség van-e internetkapcsolatra a hozzáféréshez.
A Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálásához adott forgatókönyvek támogatásához, ezért csak a rendszergazdák jelölik ki ezeket a csoportokat. Ilyenek például a következők konfigurálása:
Szuperfelhasználók, hogy a kijelölt szolgáltatások vagy személyek megnyithassák a titkosított tartalmakat, ha szükséges az adatfeltáráshoz vagy az adatok helyreállításához.
A Azure Tartalomvédelmi szolgáltatások szolgáltatás delegált felügyelete.
A fázisos üzembe helyezést támogató vezérlők előkészítése.
Az Azure Information Protection felhasználói fiókokra vonatkozó követelményei
Címkék hozzárendeléséhez:
- A Microsoft Entra-azonosítóban található összes felhasználói fiók használható olyan hatókörű szabályzatok konfigurálására, amelyek további címkéket rendelnek a felhasználókhoz.
Használati jogosultságok és hozzáférés-vezérlők hozzárendeléséhez, valamint a Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálásához:
A felhasználók engedélyezéséhez a Microsoft Entra-azonosító két attribútumot használ: proxyAddresses és userPrincipalName.
A Microsoft Entra proxyAddresses attribútum egy fiók összes e-mail-címét tárolja, és különböző módokon tölthető fel. Például egy Exchange Online-postaládával rendelkező Microsoft 365-felhasználó automatikusan rendelkezik az attribútumban tárolt e-mail-címmel. Ha másik e-mail-címet rendel egy Microsoft 365-felhasználóhoz, az is ebbe az attribútumba lesz mentve. A helyszíni fiókokból szinkronizált e-mail-címek is kitölthetők.
Az Azure Information Protection bármilyen értéket használhat ebben a Microsoft Entra proxyAddresses attribútumban, feltéve, hogy a tartomány hozzá lett adva a bérlőhöz (egy "ellenőrzött tartomány"). További információ a tartományok ellenőrzéséről:
Microsoft Entra-azonosító esetén: Egyéni tartománynév hozzáadása a Microsoft Entra-azonosítóhoz
Office 365 esetén: Tartomány hozzáadása az Office 365-höz
A Microsoft Entra userPrincipalName attribútumot csak akkor használja a rendszer, ha a bérlő egyik fiókja nem tartalmaz értékeket a Microsoft Entra proxyAddresses attribútumában. Létrehozhat például egy felhasználót az Azure Portalon, vagy létrehozhat egy olyan felhasználót a Microsoft 365-höz, aki nem rendelkezik postaládával.
Használati jogosultságok és hozzáférés-vezérlés hozzárendelése külső felhasználókhoz
A Microsoft Entra proxyAddresses és a Microsoft Entra userPrincipalName használata mellett az Azure Information Protection is ugyanúgy használja ezeket az attribútumokat, hogy engedélyezze a felhasználókat egy másik bérlőtől.
Egyéb engedélyezési módszerek:
Olyan e-mail-címek esetén, amelyek nem szerepelnek a Microsoft Entra-azonosítóban, az Azure Information Protection engedélyezheti ezeket, ha azok hitelesítése Microsoft-fiókkal történik. Azonban nem minden alkalmazás nyithat meg védett tartalmat, ha a hitelesítéshez Microsoft-fiókot használnak. További információ
Ha az Office 365 Üzenettitkosítás új képességekkel rendelkező e-maileket küld egy olyan felhasználónak, aki nem rendelkezik Fiókkal a Microsoft Entra-azonosítóban, a rendszer először egy közösségi identitásszolgáltatóval való összevonással vagy egyszeri pin-kóddal hitelesíti a felhasználót. Ezután a védett e-mailben megadott e-mail-cím használatával engedélyezi a felhasználót.
Azure Information Protection-követelmények csoportfiókokhoz
Címkék hozzárendeléséhez:
Ha olyan hatókörrel rendelkező szabályzatokat szeretne konfigurálni, amelyek további címkéket rendelnek a csoporttagokhoz, a Microsoft Entra ID bármely olyan csoportját használhatja, amely rendelkezik a felhasználó bérlőjének ellenőrzött tartományát tartalmazó e-mail-címmel. Az e-mail-címmel rendelkező csoportokat gyakran levelezési csoportnak nevezik.
Használhat például egy levelezésre képes biztonsági csoportot, egy statikus terjesztési csoportot és egy Microsoft 365-csoportot. Nem használhat biztonsági csoportot (dinamikus vagy statikus), mert ez a csoporttípus nem rendelkezik e-mail-címmel. Az Exchange Online-ból sem használhat dinamikus terjesztési listát, mert ez a csoport nem replikálódik a Microsoft Entra-azonosítóra.
Használati jogosultságok és hozzáférési vezérlők hozzárendeléséhez:
- Bármilyen típusú csoportot használhat a Microsoft Entra-azonosítóban, amelynek e-mail-címe a felhasználó bérlőjének ellenőrzött tartományát tartalmazza. Az e-mail-címmel rendelkező csoportokat gyakran levelezési csoportnak nevezik.
A Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálásához:
A Microsoft Entra-azonosítóban bármilyen típusú csoportot használhat, amely egy kivétellel rendelkezik egy ellenőrzött tartományból származó e-mail-címmel a bérlőben. Ez a kivétel akkor van, ha az előkészítési vezérlőket úgy konfigurálja, hogy egy csoportot használjanak, amelynek a Bérlő Microsoft Entra-azonosítójában biztonsági csoportnak kell lennie.
A Microsoft Entra-azonosítóban lévő csoportokat (e-mail-címmel vagy anélkül) a bérlő ellenőrzött tartományából használhatja a Azure Tartalomvédelmi szolgáltatások szolgáltatás delegált felügyeletéhez.
Használati jogosultságok és hozzáférési vezérlők hozzárendelése külső csoportokhoz
A Microsoft Entra proxyAddresses bérlői csoportokhoz való használata mellett az Azure Information Protection ezt az attribútumot is ugyanúgy használja egy másik bérlő csoportjainak engedélyezéséhez.
Helyszíni Active Directory-fiókok használata az Azure Information Protectionhez
Ha rendelkezik olyan helyszíni felügyelt fiókkal, amelyet az Azure Information Protection szolgáltatással szeretne használni, szinkronizálnia kell őket a Microsoft Entra-azonosítóval. Az üzembe helyezés megkönnyítése érdekében javasoljuk, hogy használja a Microsoft Entra Csatlakozás. Azonban bármilyen címtár-szinkronizálási módszert használhat, amely ugyanazt az eredményt éri el.
A fiókok szinkronizálása során nem kell minden attribútumot szinkronizálnia. A szinkronizálandó attribútumok listáját a Microsoft Entra dokumentációjának Azure RMS-szakaszában találja.
A Azure Tartalomvédelmi szolgáltatások attribútumlistájában láthatja, hogy a felhasználók számára a levelezés, a proxyAddresses és a userPrincipalName helyszíni AD-attribútumai szükségesek a szinkronizáláshoz. A levelezés és a proxyAddresses értékei szinkronizálódnak a Microsoft Entra proxyAddresses attribútummal. További információ: A proxyAddresses attribútum feltöltése a Microsoft Entra-azonosítóban
Annak ellenőrzése, hogy a felhasználók és csoportok felkészültek-e az Azure Information Protectionre
Az Azure AD PowerShell használatával ellenőrizheti, hogy a felhasználók és csoportok használhatók-e az Azure Information Protectionben. A PowerShell használatával is megerősítheti azokat az értékeket, amelyek az engedélyezésükhöz használhatók.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Ha például a Microsoft Entra ID-hez készült V1 PowerShell-modult használja, az MSOnline egy PowerShell-munkamenetben először csatlakozzon a szolgáltatáshoz, és adja meg a globális rendszergazdai hitelesítő adatait:
Connect-MsolService
Megjegyzés: Ha ez a parancs nem működik, futtathatja Install-Module MSOnline
az MSOnline modul telepítését.
Ezután konfigurálja a PowerShell-munkamenetet, hogy ne csonkíthassa az értékeket:
$Formatenumerationlimit =-1
Győződjön meg arról, hogy a felhasználói fiókok készen állnak az Azure Information Protection használatára
A felhasználói fiókok megerősítéséhez futtassa a következő parancsot:
Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses
Az első ellenőrzés annak ellenőrzése, hogy megjelennek-e az Azure Information Protectionben használni kívánt felhasználók.
Ezután ellenőrizze, hogy a ProxyAddresses oszlop ki van-e töltve. Ha igen, az oszlopban szereplő e-mail-értékek használatával engedélyezheti a felhasználót az Azure Information Protection számára.
Ha a ProxyAddresses oszlop nincs feltöltve, a UserPrincipalName érték használatával engedélyezi a felhasználót a Azure Tartalomvédelmi szolgáltatások szolgáltatás számára.
Példa:
Megjelenítendő név | UserPrincipalName | ProxyAddresses |
---|---|---|
Jagannath Reddy | jagannathreddy@contoso.com | {} |
Ankur Roy | ankurroy@contoso.com | {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com} |
Ebben a példában:
A Jagannath Reddy felhasználói fiókját jagannathreddy@contoso.coma rendszer engedélyezi.
Az Ankur Roy felhasználói fiókja a következő használatával ankur.roy@contoso.com engedélyezhető: és ankur.roy@onmicrosoft.contoso.com, de nem ankurroy@contoso.com.
A legtöbb esetben a UserPrincipalName értéke megegyezik a ProxyAddresses mező egyik értékével. Ez az ajánlott konfiguráció, de ha az egyszerű felhasználónév nem módosítható az e-mail-címnek megfelelően, a következő lépéseket kell végrehajtania:
Ha az UPN-érték tartományneve a Microsoft Entra-bérlő igazolt tartománya, adja hozzá az UPN-értéket egy másik e-mail-címként a Microsoft Entra-azonosítóban, hogy az UPN-érték mostantól az Azure Information Protection felhasználói fiókjának engedélyezésére használható legyen.
Ha az UPN-érték tartományneve nem ellenőrzött tartomány a bérlő számára, akkor nem használható az Azure Information Protectionben. A felhasználó azonban továbbra is jogosult a csoport tagjaként, ha a csoport e-mail-címe ellenőrzött tartománynevet használ.
Ha az UPN nem érhető el (például), konfiguráljon alternatív bejelentkezési azonosítót a felhasználók számára, ankurroy@contoso.localés utasítsa őket arra, hogy ezzel a másodlagos bejelentkezéssel jelentkezzenek be az Office-ba. Az Office beállításkulcsát is be kell állítania.
A felhasználók UPN-változásai esetén az üzletmenet folytonossága legalább 24 órán át megszakad, vagy amíg az UPN-változások megfelelően nem jelennek meg a rendszerben.
További információ: Alternatív bejelentkezési azonosító konfigurálása és Office-app licációk rendszeres kérése hitelesítő adatok megadásához a SharePointba, a OneDrive-ba és a Lync Online-ba.
Tipp.
Az Export-Csv parancsmaggal exportálhatja az eredményeket egy táblázatba a könnyebb kezelés érdekében, például keresés és tömeges szerkesztés importálás céljából.
Például: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv
Feljegyzés
A felhasználók UPN-változásai esetén az üzletmenet folytonossága legalább 24 órán át megszakad, vagy amíg az UPN-változások megfelelően nem jelennek meg a rendszerben.
Ellenőrizze, hogy a csoportfiókok készen állnak-e az Azure Information Protectionre
A csoportfiókok megerősítéséhez használja a következő parancsot:
Get-MsolGroup | select DisplayName, ProxyAddresses
Győződjön meg arról, hogy megjelennek az Azure Information Protectionben használni kívánt csoportok. A megjelenített csoportok esetében a ProxyAddresses oszlopban található e-mail-címek segítségével engedélyezheti a csoporttagokat a Azure Tartalomvédelmi szolgáltatások szolgáltatás számára.
Ezután ellenőrizze, hogy a csoportok tartalmazzák-e az Azure Information Protectionhez használni kívánt felhasználókat (vagy más csoportokat). Ehhez használhatja a PowerShellt (például Get-MsolGroupMember), vagy használhatja a felügyeleti portált.
A biztonsági csoportokat használó két Azure Tartalomvédelmi szolgáltatások szolgáltatáskonfigurációs forgatókönyv esetében az alábbi PowerShell-paranccsal megkeresheti az objektumazonosítót és a megjelenítendő nevet, amely a csoportok azonosítására használható. Az Azure Portal használatával is megkeresheti ezeket a csoportokat, és másolhatja az objektumazonosító és a megjelenítendő név értékeit:
Get-MsolGroup | where {$_.GroupType -eq "Security"}
Az Azure Information Protection használata az e-mail-címek megváltozása esetén
Ha módosítja egy felhasználó vagy csoport e-mail-címét, javasoljuk, hogy a régi e-mail-címet második e-mail-címként (más néven proxycímként, aliasként vagy másodlagos e-mail-címként) adja hozzá a felhasználóhoz vagy csoporthoz. Ha ezt teszi, a rendszer hozzáadja a régi e-mail-címet a Microsoft Entra proxyAddresses attribútumhoz. Ez a fiókfelügyelet biztosítja az üzletmenet folytonosságát minden olyan használati jogosultság vagy egyéb konfiguráció esetében, amelyet a régi e-mail-cím használatakor mentettek.
Ha ezt nem tudja megtenni, az új e-mail-címmel rendelkező felhasználó vagy csoport megtagadhatja a hozzáférést a régi e-mail-címmel korábban védett dokumentumokhoz és e-mailekhez. Ebben az esetben meg kell ismételnie a védelmi konfigurációt az új e-mail-cím mentéséhez. Ha például a felhasználó vagy csoport használati jogosultságokat kapott a sablonokban vagy címkékben, szerkessze ezeket a sablonokat vagy címkéket, és adja meg az új e-mail-címet a régi e-mail-címhez megadott használati jogosultságokkal.
Vegye figyelembe, hogy ritkán fordul elő, hogy egy csoport módosítja az e-mail-címét, és ha az egyes felhasználók helyett egy csoporthoz rendel használati jogokat, nem számít, hogy a felhasználó e-mail-címe megváltozik-e. Ebben az esetben a használati jogosultságok a csoport e-mail-címéhez vannak hozzárendelve, nem pedig az egyes felhasználói e-mail-címekhez. Ez a legvalószínűbb (és ajánlott) módszer a rendszergazdák számára, hogy olyan használati jogosultságokat konfiguráljanak, amelyek védik a dokumentumokat és az e-maileket. Előfordulhat azonban, hogy a felhasználók általában egyéni engedélyeket rendelnek az egyes felhasználókhoz. Mivel nem mindig tudja, hogy egy felhasználói fiókot vagy csoportot használtak-e a hozzáférés megadására, a legbiztonságosabb, ha a régi e-mail-címet mindig második e-mail-címként adja hozzá.
Csoporttagság gyorsítótárazása az Azure Information Protection használatával
Teljesítménybeli okokból az Azure Information Protection gyorsítótárazza a csoporttagságokat. Ez azt jelenti, hogy a Microsoft Entra-azonosító csoporttagságának bármilyen módosítása akár három órát is igénybe vehet, amikor ezeket a csoportokat az Azure Information Protection használja, és ez az időtartam változhat.
Ne felejtse el figyelembe venni ezt a késést azokra a módosításokra vagy tesztelésekre, amelyeket akkor hajt végre, amikor csoportokat használ a használati jogosultságok megadásához vagy a Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálásához, vagy ha hatóköralapú szabályzatokat konfigurál.
Következő lépések
Ha megerősítette, hogy a felhasználók és csoportok használhatók az Azure Information Protectionben, és készen áll a dokumentumok és e-mailek védelmére, ellenőrizze, hogy aktiválnia kell-e a Azure Tartalomvédelmi szolgáltatások szolgáltatást. Ezt a szolgáltatást aktiválni kell, mielőtt megvédené a szervezet dokumentumait és e-mailjeit:
2018 februárjától kezdve: Ha a Azure Tartalomvédelmi szolgáltatások vagy az Azure Information Protectiont tartalmazó előfizetése ebben a hónapban vagy azt követően lett beszerezve, a szolgáltatás automatikusan aktiválódik Önnek.
Ha az előfizetését 2018 februárja előtt szerezte be: A szolgáltatást önnek kell aktiválnia.
Az aktiválási állapot ellenőrzésével kapcsolatos további információkért lásd : A védelmi szolgáltatás aktiválása az Azure Information Protectionből.