Felhasználók és csoportok előkészítése az Azure Information Protection használatához

Megjegyzés

Keres Microsoft Purview információvédelem, korábban Microsoft-információvédelem (MIP)?

Az Azure Information Protection egységes címkézési ügyfél karbantartási módban van. Javasoljuk, hogy az Office 365-alkalmazásokba és -szolgáltatásokba beépített címkéket használjon. Tudj meg többet

Mielőtt üzembe helyezné az Azure Information Protectiont a szervezet számára, ellenőrizze, hogy rendelkezik-e felhasználókkal és csoportokkal az Azure AD-ban a szervezet bérlője számára.

A felhasználók és csoportok létrehozása többféle módon is elvégezhető, például:

  • A felhasználókat a Microsoft 365 Felügyeleti központ és a csoportokat a Exchange Online Felügyeleti központban hozhatja létre.

  • A felhasználókat és csoportokat az Azure Portalon hozza létre.

  • A felhasználókat és csoportokat Azure AD PowerShell-parancsmagokkal és Exchange Online-parancsmagokkal hozza létre.

  • A felhasználókat és csoportokat a helyszíni Active Directoryban hozza létre, majd szinkronizálja őket az Azure AD-be.

  • A felhasználókat és csoportokat egy másik címtárban hozza létre, majd szinkronizálja őket az Azure AD-be.

Amikor a lista első három metódusával hoz létre felhasználókat és csoportokat, egyetlen kivétellel automatikusan létrejönnek Azure AD, és az Azure Information Protection közvetlenül használhatja ezeket a fiókokat. Számos vállalati hálózat azonban helyszíni címtárban hozza létre és kezeli a felhasználókat és csoportokat. Ezeket az Azure Information Protection nem tudja közvetlenül használni, ezért szinkronizálni kell őket az Azure AD-be.

Az előző bekezdésben említett kivétel a dinamikus terjesztési listák, amelyeket Exchange Online hozhat létre. A statikus terjesztési listákkal ellentétben ezek a csoportok nem replikálódnak Azure AD, így az Azure Information Protection nem használhatja őket.

Felhasználók és csoportok használata az Azure Information Protectionben

Az Azure Information Protection háromféle esetben használja a felhasználókat és csoportokat:

Címkék hozzárendeléséhez felhasználókhoz az Azure Information Protection-szabályzat konfigurálásakor, hogy a dokumentumokhoz és e-mailekhez címkéket lehessen alkalmazni. A felhasználókat és csoportokat csak rendszergazdák választhatják ki:

  • Az alapértelmezett Azure Information Protection-szabályzat automatikusan hozzá lesz rendelve a bérlői Azure AD minden felhasználójához. Hatókörrel rendelkező szabályzatok használatával azonban további címkéket is hozzá lehet rendelni meghatározott felhasználókhoz vagy csoportokhoz.

Használati jogosultságok és hozzáférés-vezérlés hozzárendeléséhez, ha az Azure Rights Management szolgáltatást használja dokumentumok és e-mailek védelmére. Ezeket a felhasználókat és csoportokat rendszergazdák és felhasználók is kiválaszthatják:

  • A használati jogosultságok határozzák meg, hogy a felhasználó megnyithatja-e a dokumentumot vagy e-mailt, és hogy milyen módon használhatja azokat. Meghatározható például, hogy csak olvasási, csak olvasási és nyomtatási, vagy csak olvasási és szerkesztési jogosultsága legyen.

  • A hozzáférés-vezérlés tartalmazza a lejárati dátumot, valamint azt, hogy szükség van-e internetkapcsolatra a hozzáféréshez.

Az Azure Rights Management szolgáltatás konfigurálásához szolgáltatásspecifikus esetek támogatásához, így ezeket a csoportokat csak rendszergazdák választhatják ki. Konfigurálhatók például az alábbiak:

  • Felügyelők, hogy a kijelölt szolgáltatások és személyek titkosított tartalmat nyithassanak meg, ha az elektronikus feltárás vagy az adat-helyreállítás ezt szükségessé teszi.

  • Az Azure Rights Management szolgáltatás delegált felügyelete.

  • Regisztrációs vezérlők szakaszos bevezetéshez.

Az Azure Information Protection használati követelményei felhasználói fiókokhoz

Címkék hozzárendeléséhez:

  • Az Azure AD minden felhasználói fiókja használható olyan hatókörrel rendelkező szabályzatok konfigurálásához, amelyek további címkéket rendelnek felhasználókhoz.

Használati jogosultságok és hozzáférés-vezérlés hozzárendeléséhez és az Azure Rights Management szolgáltatás konfigurálásához:

  • Felhasználói engedélyek létrehozásához az Azure AD két attribútuma szükséges: a proxyAddresses és a userPrincipalName.

  • Az Azure AD proxyAddresses attribútuma a fiók összes e-mail-címét tárolja, és többféle módon lehet adatokkal feltölteni. Például a Microsoft 365 olyan felhasználója, aki Exchange Online postaládával rendelkezik, automatikusan rendelkezik egy e-mail-címmel, amely ebben az attribútumban van tárolva. Ha másik e-mail-címet rendel egy Microsoft 365-felhasználóhoz, az is ebbe az attribútumba lesz mentve. Az attribútum a helyszíni fiókokban tárolt e-mail-címek szinkronizálásával is feltölthető adatokkal.

    Az Azure Information Protection az Azure AD proxyAddresses attribútumában bármilyen értéket használhat, ha a tartományt hozzáadták a bérlőhöz („ellenőrzött tartomány”). További információ a tartományok ellenőrzéséről:

  • Az Azure AD userPrincipalName attribútum csak akkor használatos, ha a bérlő valamely fiókja nem rendelkezik értékkel az Azure AD proxyAddresses attribútumában. Létrehozhat például egy felhasználót a Azure Portal, vagy létrehozhat egy olyan felhasználót a Microsoft 365-höz, aki nem rendelkezik postaládával.

Használati jogosultságok és hozzáférés-vezérlés hozzárendelése külső felhasználókhoz

Az Azure Information Protection az Azure AD proxyAddresses és az Azure AD userPrincipalName attribútumait a bérlőn belüli felhasználókon kívül más bérlők felhasználói esetén is hasonlóképpen használja engedélyek hozzárendeléséhez.

Egyéb engedélyezési módszerek:

  • A Azure AD nem szereplő e-mail-címek esetében az Azure Information Protection engedélyezheti ezeket, amikor microsoftos fiókkal hitelesítik őket. Azonban nem minden alkalmazás nyithat meg védett tartalmat, ha a hitelesítéshez Microsoft-fiókot használnak. További információ

  • Ha új képességekkel rendelkező e-mailt küld Office 365 Üzenettitkosítás használatával egy olyan felhasználónak, aki nem rendelkezik fiókkal Azure AD, a rendszer először egy közösségi identitásszolgáltatóval való összevonással vagy egyszeri pin-kóddal hitelesíti a felhasználót. Ezután a védett e-mailben megadott e-mail-cím lesz használva a felhasználó engedélyezéséhez.

Az Azure Information Protection használati követelményei csoportfiókokhoz

Címkék hozzárendeléséhez:

  • Az Azure AD bármilyen típusú csoportja használható olyan, hatókörrel rendelkező szabályzatok konfigurálásához, amelyek további címkéket rendelnek csoporttagokhoz, ha a csoport rendelkezik olyan e-mail-címmel, amely a felhasználó bérlőjéhez tartozó ellenőrzött tartományt tartalmazza. Az e-mail-címmel rendelkező csoportot más néven levelezési csoportnak hívjuk.

    Használhat például levelezési biztonsági csoportot, statikus terjesztési csoportot és Microsoft 365-csoportot. Biztonsági csoport (akár dinamikus, akár statikus) nem használható, mert ez a típusú csoport nem rendelkezik e-mail-címmel. A Exchange Online dinamikus terjesztési listáját sem használhatja, mert ez a csoport nincs replikálva Azure AD.

Használati jogosultságok és hozzáférés-vezérlés hozzárendelése:

  • Az Azure AD bármilyen típusú csoportja használható, amely rendelkezik olyan e-mail-címmel, amely a felhasználó bérlőjéhez tartozó ellenőrzött tartományt tartalmazza. Az e-mail-címmel rendelkező csoportot más néven levelezési csoportnak hívjuk.

Az Azure Rights Management szolgáltatás konfigurálása:

  • Egy kivétellel az Azure AD bármilyen típusú csoportja használható, amely rendelkezik olyan e-mail-címmel, amely a felhasználó bérlőjéhez tartozó ellenőrzött tartományt tartalmaz. A kivétel az az eset, amikor regisztrációs vezérlőket konfigurál olyan csoport használatához, amelynek a bérlőhöz tartozó Azure AD-ben biztonsági csoportnak kell lennie.

  • A Azure Tartalomvédelmi szolgáltatások szolgáltatás delegált felügyeletéhez a bérlő ellenőrzött tartományából származó Azure AD bármelyik csoportját használhatja (e-mail-címmel vagy anélkül).

Használati jogosultságok és hozzáférés-vezérlés hozzárendelése külső csoportokhoz

Az Azure Information Protection az Azure AD proxyAddresses attribútumot a bérlőn belüli csoportokon kívül más bérlők csoportjai esetén is hasonlóképpen használja engedélyek hozzárendeléséhez.

Helyszíni Active Directory-fiókok használata az Azure Information Protectionnel

Ha helyszíni kezelésű fiókokat szeretne az Azure Information Protectionnel használni, akkor először szinkronizálnia kell azokat az Azure AD-be. Az üzembe helyezés megkönnyítéséhez javasoljuk az Azure AD Connect használatát. Azonban bármilyen más címtár-szinkronizálási módszert is használhat, amellyel ugyanezt az eredményt éri el.

A fiókok szinkronizálásakor nem szükséges minden attribútumot szinkronizálni. A szinkronizálandó attribútumok listáját az Azure Active Directory dokumentációjának az Azure RMS című szakaszában találja.

Az Azure Rights Managementhez tartozó attribútumlistából látható, hogy felhasználók esetében a helyszíni AD-attribútumok közül a mail, a proxyAddresses és a userPrincipalName attribútumot kötelező szinkronizálni. A mail és a proxyAddresses attribútumok az Azure AD proxyAddresses attribútumába lesznek szinkronizálva. További információt A proxyAddresses attribútum feltöltése az Azure AD-ben című témakörben talál

Felhasználók és csoportok Azure Information Protection használatához való előkészítésének ellenőrzése

Az Azure AD PowerShell használatával ellenőrizheti, hogy használhatók-e a felhasználók és csoportok az Azure Information Protectionnel. A PowerShell használatával azokat az értékeket is ellenőrizheti, amelyeket azok engedélyezésére használ a rendszer.

Például az Azure Active Directory V1 PowerShell-modulja, az MSOnline használatával egy PowerShell-munkamenetben először kapcsolódjon a szolgáltatáshoz, és adja meg a globális rendszergazdai hitelesítő adatait:

Connect-MsolService

Megjegyzés: ha ez a parancs nem működik, az Install-Module MSOnline paranccsal telepítheti az MSOnline modult.

Ezt követően konfigurálja a PowerShell-munkamenetet úgy, hogy az ne csonkolja az értékeket:

$Formatenumerationlimit =-1

Annak ellenőrzése, hogy a felhasználói fiókok készen állnak-e az Azure Information Protection használatára

A felhasználói fiókok ellenőrzéséhez futtassa az alábbi parancsot:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Először ellenőrizze, hogy az Azure Information Protectionnel használni kívánt felhasználók megjelennek-e.

Ezt követően ellenőrizze, hogy a ProxyAddresses oszlop fel van-e töltve értékekkel. Ha igen, az oszlopban szereplő e-mail-értékekkel engedélyezheti a felhasználót az Azure Information Protection számára.

Ha a ProxyAddresses oszlop nem tartalmaz adatokat, akkor a felhasználók Azure Rights Management szolgáltatásbeli engedélyezése a UserPrincipalName alatt szereplő értékekkel történik.

Például:

Megjelenítendő név UserPrincipalName ProxyAddresses
Jagannath Reddy jagannathreddy@contoso.com {}
Ankur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

Ebben a példában:

  • Jagannath Reddy felhasználói fiókja a jagannathreddy@contoso.com használatával lesz engedélyezve.

  • Ankur Roy felhasználói fiókjának engedélyezéséhez használható az ankur.roy@contoso.com és az ankur.roy@onmicrosoft.contoso.com, de az ankurroy@contoso.com nem.

A UserPrincipalName attribútum értéke a legtöbbször megegyezik a ProxyAddresses mező valamely értékével. Ez az ajánlott konfiguráció, de ha nem tudja módosítani az egyszerű felhasználónevet, hogy az illeszkedjen az e-mail-címhez, akkor az alábbi lépéseket kell végrehajtania:

  1. Ha az egyszerű felhasználónévben szereplő tartománynév az Azure AD-ben érvényesített tartomány, akkor az Azure AD-ben újabb e-mail-címként adja hozzá az egyszerű felhasználónév értékét, így az egyszerű felhasználónév már használható lesz a felhasználói fiók engedélyezéséhez az Azure Information Protectionben.

    Ha az egyszerű felhasználónév nem érvényesített tartomány a bérlőben, akkor az nem használható az Azure Information Protectionben. A felhasználót azonban csoport tagjaként ekkor is lehetséges engedélyezni, ha a csoport e-mail-címe érvényesített tartománynevet tartalmaz.

  2. Ha az egyszerű felhasználónév nem irányítható (például ankurroy@contoso.local), állítson be másodlagos bejelentkezési azonosítót a felhasználó számára, és tájékoztassa arról, hogyan jelentkezhet be az Office-ba a másodlagos bejelentkezéssel. Ezen kívül beállításkulcsot is be kell állítania az Office-hoz.

    A felhasználók UPN-változásai esetén legalább 24 órán keresztül megszakad az üzletmenet folytonossága, vagy amíg az UPN-változások megfelelően nem jelennek meg a rendszerben.

    További információt az Alternatív bejelentkezési azonosító és az Office-alkalmazások konfigurálása című témakörben talál, amely rendszeres időközönként kéri a SharePoint, a OneDrive és a Lync Online hitelesítő adatainak megadását.

Tipp

Az Export-Csv parancsmag használatával egy számolótáblába exportálhatja az eredményeket, így azok könnyebben kezelhetőek például importálás előtti tömeges módosítás esetén.

Például: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Megjegyzés

A felhasználók UPN-változásai esetén legalább 24 órán keresztül megszakad az üzletmenet folytonossága, vagy amíg az UPN-változások megfelelően nem jelennek meg a rendszerben.

Annak ellenőrzése, hogy a csoportfiókok készen állnak-e az Azure Information Protection használatára

A csoportfiókok ellenőrzéséhez futtassa az alábbi parancsot:

Get-MsolGroup | select DisplayName, ProxyAddresses

Ellenőrizze, hogy az Azure Information Protectionnel használni kívánt csoportok megjelennek-e. A megjelenített csoportok esetében a ProxyAddresses oszlopban található e-mail-címek használhatók a csoporttagok engedélyezéséhez az Azure Rights Management szolgáltatásban.

Ezt követően ellenőrizze, hogy a csoport tartalmazza-e azokat a felhasználókat (vagy más csoportokat), amelyeket az Azure Information Protectionnel szeretne használni. Ezt elvégezheti a PowerShell használatával is (például a Get-MsolGroupMember parancsmaggal), vagy használhatja a felügyeleti portált is erre a célra.

A biztonsági csoportokat használó kétféle Azure Rights Management-szolgáltatáskonfiguráció esetén az alábbi PowerShell-paranccsal megkeresheti a csoportok azonosításához szükséges objektumazonosítót és megjelenített nevet. A csoportokat az Azure Portalon is megkeresheti, és kimásolhatja az objektumazonosítót és a megjelenített nevet:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Megfontolandó szempontok az e-mail-címek változásakor Azure Information Protection használatakor

Ha egy felhasználói csoport e-mail-címét megváltoztatja, javasoljuk, hogy a régi e-mail-címet második e-mail-címként adja meg (ezt proxycímként, aliasként vagy alternatív e-mail-címként is ismerheti) a felhasználói csoporthoz. Ilyen esetben a régi e-mail-cím az Azure AD proxyAddresses attribútumához lesz hozzáadva. Ez a fiókfelügyelet az üzleti folytonosságot hivatott biztosítani olyan használati jogosultságok vagy más beállítások tekintetében, amelyeket akkor mentettek, amikor még a régi e-mail-cím volt használatban.

Ha ezt nem tudja megtenni, az új e-mail-címmel rendelkező felhasználó vagy csoport számára fennáll a veszélye annak, hogy a rendszer megtagadja a hozzáférést a régi e-mail-címmel korábban védett dokumentumokhoz és e-mailekhez. Ebben az esetben meg kell ismételnie a védelmi konfigurációt az új e-mail-cím mentéséhez. Ha például a felhasználó vagy csoport használati jogosultságokat kapott sablonokban vagy címkékben, szerkessze ezeket a sablonokat vagy címkéket, és adja meg az új e-mail-címet a régi e-mail-címhez megadott használati jogosultságokkal.

Ugyanakkor csoportok e-mail-címe ritkán változik meg, és ha a használati jogokat csoportokhoz és nem egyéni felhasználókhoz rendeli, akkor a felhasználó e-mail-címének változása nem okozhat problémát. Ebben az esetben a használati jogok a csoport e-mail-címéhez vannak rendelve, és nem az egyéni felhasználók e-mail-címeihez. Ez a módszer a legvalószínűbb (és egyúttal ajánlott is) ahhoz, hogy a rendszergazda használati jogokat állítson be dokumentumok és e-mailek védelméhez. A felhasználók azonban nagyobb valószínűséggel állítanak be egyedi felhasználókra vonatkozó egyéni engedélyeket. Mivel nem tudható biztosan, hogy használtak-e csoportfiókot vagy felhasználói fiókot hozzáférési engedélyek biztosításához, a biztonságos megoldás az, ha a régi e-mail-címet második e-mail-címként hozzáadja.

Csoporttagság gyorsítótárazása az Azure Information Protection

Teljesítménybeli okokból az Azure Information Protection gyorsítótárazza a csoporttagságokat. Ez azt jelenti, hogy a Azure AD csoporttagságának módosítása akár három órát is igénybe vehet, ha ezeket a csoportokat az Azure Information Protection használja, és ez az időszak változhat.

Ne felejtse el figyelembe venni ezt a késést minden olyan módosításban vagy tesztelésben, amelyet akkor hajt végre, amikor csoportokat használ a használati jogosultságok megadásához vagy a Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálásához, vagy ha hatókörön belüli szabályzatokat konfigurál.

Következő lépések

Ha meggyőződött arról, hogy felhasználói és csoportjai használhatók az Azure Information Protection- és készen áll a dokumentumok és e-mailek védelmére, ellenőrizze, hogy aktiválnia kell-e a Azure Tartalomvédelmi szolgáltatások szolgáltatást. Ezt a szolgáltatást aktiválni kell a szervezet dokumentumainak és e-mailjeinek védelme előtt:

  • 2018. februártól kezdve: Ha a Azure Tartalomvédelmi szolgáltatások vagy az Azure Information Protection tartalmazó előfizetése a hónap folyamán vagy azt követően lett beszerezve, a szolgáltatás automatikusan aktiválódik Önnek.

  • Ha előfizetését 2018 februárja előtt szerezte be: A szolgáltatást önnek kell aktiválnia.

Az aktiválási állapot ellenőrzéséről további információt az Azure Information Protection védelmi szolgáltatás aktiválása című témakörben talál.