Przygotowywanie użytkowników i grup do korzystania z usługi Azure Information Protection

Uwaga

Szukasz Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek azure Information Protection dla pakietu Office jest teraz w trybie konserwacji i zalecamy używanie etykiet wbudowanych w Office 365 aplikacji i usług. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Przed wdrożeniem usługi Azure Information Protection w organizacji upewnij się, że w usłudze Azure AD istnieją konta użytkowników i grup dla dzierżawy organizacji.

Istnieją różne sposoby tworzenia tych kont użytkowników i grup, w tym:

  • Możesz utworzyć użytkowników w Centrum administracyjne platformy Microsoft 365 i grupy w centrum administracyjnym Exchange Online.

  • Tworzenie użytkowników i grup w witrynie Azure Portal.

  • Tworzenie użytkowników i grup za pomocą poleceń cmdlet programu Azure AD PowerShell i usługi Exchange Online.

  • Tworzenie użytkowników i grup w lokalnej usłudze Active Directory i synchronizowanie ich z usługą Azure AD.

  • Tworzenie użytkowników i grup w innym katalogu i synchronizowanie ich z usługą Azure AD.

Podczas tworzenia użytkowników i grup przy użyciu pierwszych trzech metod z tej listy, z jednym wyjątkiem, są one automatycznie tworzone w Azure AD, a usługa Azure Information Protection może używać tych kont bezpośrednio. Jednak wiele sieci przedsiębiorstw używa katalogu lokalnego do tworzenia użytkowników i grup oraz zarządzania nimi. Usługa Azure Information Protection nie może bezpośrednio korzystać z tych kont; należy je zsynchronizować z usługą Azure AD.

Wyjątek, o którym mowa w poprzednim akapicie, to dynamiczne listy dystrybucyjne, które można utworzyć dla Exchange Online. W przeciwieństwie do statycznych list dystrybucyjnych te grupy nie są replikowane do Azure AD i dlatego nie mogą być używane przez usługę Azure Information Protection.

Jak usługa Azure Information Protection korzysta z użytkowników i grup

Istnieją trzy scenariusze dotyczące korzystania z użytkowników i grup w usłudze Azure Information Protection:

Do przypisywania etykiet do użytkowników podczas konfigurowania zasad usługi Azure Information Protection, dzięki czemu w dokumentach i wiadomościach e-mail można stosować etykiety. Tych użytkowników i grupy mogą wybierać tylko administratorzy:

  • Domyślne zasady usługi Azure Information Protection są automatycznie przypisywane do wszystkich użytkowników w usłudze Azure AD dla dzierżawy. Można jednak również przypisać dodatkowe etykiety do określonych użytkowników lub grup, korzystając z zasad w zakresie.

Do przypisywania praw użytkowania i kontroli dostępu w przypadku chronienia dokumentów i wiadomości e-mail przy użyciu usługi Azure Rights Management. Tych użytkowników i grupy mogą wybierać administratorzy i użytkownicy:

  • Prawa użytkowania określają, czy użytkownik może otworzyć dokument lub wiadomość e-mail, i jak może ich używać, na przykład czy może je tylko odczytywać, odczytywać i drukować, czy też odczytywać i edytować.

  • Mechanizmy kontroli dostępu obejmują datę wygaśnięcia i to, czy połączenie z Internetem jest wymagane do uzyskania dostępu.

Do konfigurowania usługi Azure Rights Management w celu obsługi określonych scenariuszy. Z tego względu te grupy mogą wybierać tylko administratorzy. Przykłady obejmują konfigurowanie następujących elementów:

  • Administratorzy — dzięki temu wyznaczone usługi lub osoby mogą otwierać zaszyfrowaną zawartość, jeśli jest to wymagane do zbierania elektronicznych materiałów dowodowych lub odzyskiwania danych.

  • Delegowana administracja usługą Azure Rights Management.

  • Kontrolki dołączania do obsługi wdrożenia etapowego.

Wymagania dotyczące usługi Azure Information Protection odnośnie do kont użytkowników

W przypadku przypisywania etykiet:

  • Wszystkie konta użytkowników w usłudze Azure AD mogą być używane do konfigurowania zasad w zakresie, które służą do przypisywania dodatkowych etykiet do użytkowników.

W przypadku przypisywania praw użytkowania i kontroli dostępu oraz konfigurowania usługi Azure Rights Management:

  • Do autoryzowania użytkowników służą dwa atrybuty w usłudze Azure AD: proxyAddresses i userPrincipalName.

  • Atrybut proxyAddresses usługi Azure AD przechowuje wszystkie adresy e-mail konta i może być wypełniany na różne sposoby. Na przykład użytkownik platformy Microsoft 365 z skrzynką pocztową Exchange Online automatycznie ma adres e-mail przechowywany w tym atrybucie. Jeśli przypiszesz alternatywny adres e-mail dla użytkownika platformy Microsoft 365, zostanie on również zapisany w tym atrybucie. Można go również wypełnić przy użyciu adresów e-mail synchronizowanych z kont lokalnych.

    Usługa Azure Information Protection może używać dowolnej wartości w tym atrybucie proxyAddresses usługi Azure AD, jeśli domena została dodana do dzierżawy („zweryfikowana domena”). Więcej informacji na temat weryfikowania domen można znaleźć w następujących artykułach:

  • Atrybut userPrincipalName usługi Azure AD jest używany tylko wtedy, gdy konto w dzierżawie nie ma wartości atrybutu proxyAddresses usługi Azure AD. Na przykład utworzysz użytkownika w Azure Portal lub utworzysz użytkownika dla platformy Microsoft 365, który nie ma skrzynki pocztowej.

Przypisywanie praw użytkowania i kontroli dostępu do użytkowników zewnętrznych

Oprócz używania atrybutów proxyAddresses i userPrincipalName usługi Azure AD dla użytkowników w dzierżawie usługa Azure Information Protection korzysta z tych atrybutów w ten sam sposób w celu autoryzowania użytkowników z innej dzierżawy.

Inne metody autoryzacji:

  • W przypadku adresów e-mail, które nie znajdują się w Azure AD, usługa Azure Information Protection może autoryzować te adresy po uwierzytelnieniu przy użyciu konta Microsoft. Jednak nie wszystkie aplikacje mogą otwierać chronioną zawartość, gdy konto Microsoft jest używane do uwierzytelniania. Więcej informacji

  • Gdy wiadomość e-mail jest wysyłana przy użyciu Office 365 szyfrowania wiadomości z nowymi możliwościami dla użytkownika, który nie ma konta w Azure AD, użytkownik jest najpierw uwierzytelniany przy użyciu federacji z dostawcą tożsamości społecznościowych lub za pomocą jednorazowego kodu dostępu. Następnie adres e-mail określony w chronionej wiadomości e-mail jest używany do autoryzowania użytkownika.

Wymagania dotyczące usługi Azure Information Protection dla kont grup

W przypadku przypisywania etykiet:

  • Do konfigurowania zasad należących do zakresu, które służą do przypisywania dodatkowych etykiet do członków grupy można używać dowolnego typu grupy usługi Azure AD z adresem e-mail zawierającym zweryfikowaną domenę dzierżawy użytkownika. Grupa, która ma adres e-mail, jest często określana mianem grupy z włączoną obsługą poczty.

    Można na przykład użyć grupy zabezpieczeń obsługującej pocztę, statycznej grupy dystrybucyjnej i grupy platformy Microsoft 365. Nie można użyć grupy zabezpieczeń (dynamicznej ani statycznej), ponieważ ten typ grupy nie ma adresu e-mail. Nie można również użyć dynamicznej listy dystrybucyjnej z Exchange Online, ponieważ ta grupa nie jest replikowana do Azure AD.

W przypadku przypisywania praw użytkowania i kontroli dostępu:

  • W usłudze Azure AD można używać dowolnego typu grupy z adresem e-mail, która zawiera zweryfikowaną domenę dzierżawy użytkownika. Grupa, która ma adres e-mail, jest często określana mianem grupy z włączoną obsługą poczty.

W przypadku konfigurowania usługi Azure Rights Management:

  • W usłudze Azure AD można używać dowolnego typu grupy z adresem e-mail z domeny zweryfikowanej w dzierżawie — z jednym wyjątkiem. Wyjątkiem jest sytuacja, gdy konfigurujesz kontrolki dołączania w celu użycia grupy, która musi być grupą zabezpieczeń w usłudze Azure AD dla dzierżawy.

  • Możesz użyć dowolnej grupy w Azure AD (z adresem e-mail lub bez niego) z zweryfikowanej domeny w dzierżawie do delegowanej administracji usługi Azure Rights Management.

Przypisywanie praw użytkowania i kontroli dostępu do grup zewnętrznych

Oprócz używania atrybutu proxyAddresses usługi Azure AD dla grup w dzierżawie usługa Azure Information Protection korzysta z tego atrybutu w taki sam sposób w celu autoryzowania grup z innej dzierżawy.

Używanie kont z lokalnej usługi Active Directory na potrzeby usługi Azure Information Protection

Jeśli masz konta zarządzane lokalnie, które mają być używane w usłudze Azure Information Protection, musisz je zsynchronizować z usługą Azure AD. W celu ułatwienia wdrażania zalecamy użycie programu Azure AD Connect. Możesz jednak użyć dowolnej metody synchronizacji katalogu, która daje ten sam wynik.

Podczas synchronizowania kont nie trzeba synchronizować wszystkich atrybutów. Aby uzyskać listę atrybutów, które należy zsynchronizować, zobacz sekcję dotyczącą usługi Azure RMS w dokumentacji usługi Azure Active Directory.

Po zapoznaniu się z listą atrybutów usługi Azure Rights Management zobaczysz, że w przypadku użytkowników należy zsynchronizować lokalne atrybuty usługi AD, takie jak mail, proxyAddresses i userPrincipalName. Wartości atrybutów mail i proxyAddresses są synchronizowane z atrybutem proxyAddresses usługi Azure AD. Aby uzyskać więcej informacji, zobacz artykuł Jak atrybut proxyAddresses jest wypełniany w usłudze Azure AD

Potwierdzanie gotowości użytkowników i grup do użycia w usłudze Azure Information Protection

W celu potwierdzenia, że użytkownicy i grupy mogą być używane w usłudze Azure Information Protection, można użyć programu Azure AD PowerShell. W programie PowerShell można również sprawdzić wartości do użycia podczas ich autoryzowania.

Jeśli na przykład w sesji programu PowerShell używasz modułu PowerShell w wersji 1, MSOnline, dla usługi Azure Active Directory, najpierw połącz się z usługą i podaj poświadczenia administratora globalnego:

Connect-MsolService

Uwaga: jeśli to polecenie nie działa, w celu zainstalowania modułu MSOnline możesz uruchomić polecenie Install-Module MSOnline.

Następnie skonfiguruj sesję programu PowerShell tak, aby wartości nie były przycinane:

$Formatenumerationlimit =-1

Potwierdzanie gotowości kont użytkowników do użycia w usłudze Azure Information Protection

Aby potwierdzić konta użytkowników, uruchom następujące polecenie:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Najpierw upewnij się, że użytkownicy, których chcesz używać w usłudze Azure Information Protection, są wyświetlani.

Następnie sprawdź, czy kolumna ProxyAddresses została wypełniona. Jeśli tak jest, wartości wiadomości e-mail w tej kolumnie mogą służyć do autoryzowania użytkownika dla usługi Azure Information Protection.

Jeśli kolumna ProxyAddresses nie została wypełniona, do autoryzacji użytkownika w usłudze Azure Rights Management będzie używana wartość UserPrincipalName.

Przykład:

Nazwa wyświetlana UserPrincipalName ProxyAddresses
Jagannath Reddy jagannathreddy@contoso.com {}
Ankur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

W tym przykładzie:

  • Konto użytkownika Jagannath Reddy będzie autoryzowane przy użyciu adresu jagannathreddy@contoso.com.

  • Konto użytkownika Ankur Roy może być autoryzowane przy użyciu adresu ankur.roy@contoso.com i ankur.roy@onmicrosoft.contoso.com, ale nie ankurroy@contoso.com.

W większości przypadków wartość pola UserPrincipalName będzie zgodna z jedną z wartości pola ProxyAddresses. Jest to zalecana konfiguracja, ale jeśli nie możesz zmienić nazwy UPN na zgodną z adresem e-mail, musisz wykonać następujące czynności:

  1. Jeśli nazwa domeny w polu nazwy UPN to zweryfikowana domena dzierżawy usługi Azure AD, dodaj wartość nazwy UPN jako następny adres e-mail w usłudze Azure AD. Umożliwi to używanie wartości nazwy UPN do autoryzowania konta użytkownika na potrzeby usługi Azure Information Protection.

    Jeśli nazwa domeny w polu wartości nazwy UPN nie jest zweryfikowaną domeną dzierżawy, nie można jej używać w usłudze Azure Information Protection. Użytkownika można jednak nadal autoryzować jako członka grupy, jeśli w adresie e-mail grupy jest używana nazwa zweryfikowanej domeny.

  2. Jeśli nazwa UPN nie obsługuje routingu (na przykład ankurroy@contoso.local), skonfiguruj alternatywny identyfikator logowania dla użytkowników i poinformuj ich, jak mają logować się do pakietu Office przy użyciu tej alternatywnej nazwy logowania. Musisz również ustawić klucz rejestru dla pakietu Office.

    W przypadku zmian nazwy UPN dla użytkowników nastąpi utrata ciągłości działania przez co najmniej 24 godziny lub do momentu, aż zmiany nazwy UPN zostaną prawidłowo odzwierciedlone w systemie.

    Aby uzyskać więcej informacji, zobacz Konfigurowanie alternatywnego identyfikatora logowania i aplikacji pakietu Office okresowo monituj o poświadczenia do programów SharePoint, OneDrive i Lync Online.

Porada

Aby wyeksportować wyniki do arkusza kalkulacyjnego i łatwiej nimi zarządzać, np. wyszukiwać i edytować grupowo na potrzeby importowania, możesz użyć polecenia cmdlet Export-Csv.

Na przykład: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Uwaga

W przypadku zmian nazwy UPN dla użytkowników nastąpi utrata ciągłości działania przez co najmniej 24 godziny lub do momentu, aż zmiany nazwy UPN zostaną prawidłowo odzwierciedlone w systemie.

Potwierdzanie gotowości kont grup do użycia w usłudze Azure Information Protection

Aby potwierdzić konta grupy, użyj następującego polecenia:

Get-MsolGroup | select DisplayName, ProxyAddresses

Upewnij się, że grupy, których chcesz używać w usłudze Azure Information Protection, są wyświetlane. Adresy e-mail wyświetlonych grup w kolumnie ProxyAddresses mogą być używane do autoryzowania członków grupy na potrzeby usługi Azure Rights Management.

Następne sprawdź, czy grupy zawierają użytkowników (lub inne grupy), których chcesz używać w usłudze Azure Information Protection. W tym celu możesz użyć programu PowerShell (na przykład polecenia Get-MsolGroupMember) lub portalu zarządzania.

W przypadku dwóch scenariuszy konfiguracji Azure Rights Management korzystających z grup zabezpieczeń można użyć poniższego polecenia programu PowerShell w celu wyszukiwania identyfikatora obiektu i nazwy wyświetlanej, na podstawie których można będzie identyfikować te grupy. Możesz również użyć witryny Azure Portal w celu wyszukania tych grup i skopiowania wartości identyfikatora obiektu oraz nazwy wyświetlanej:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Zagadnienia dotyczące usługi Azure Information Protection w przypadku zmiany adresów e-mail

Jeśli zmienisz adres e-mail użytkownika lub grupy, zalecamy dodanie starego adresu e-mail jako drugiego adresu e-mail (znanego także jako adres serwera proxy, alias lub alternatywny adres e-mail) do użytkownika lub grupy. Wykonanie tej czynności spowoduje dodanie starego adresu e-mail do atrybutu proxyAddresses usługi Azure AD. Administrowanie tym kontem zapewnia ciągłość działania w przypadku dowolnych praw użytkowania lub innych konfiguracji zapisanych, gdy stary adres e-mail był w użyciu.

Jeśli nie możesz tego zrobić, użytkownik lub grupa z nowym adresem e-mail grozi odmową dostępu do dokumentów i wiadomości e-mail, które były wcześniej chronione przy użyciu starego adresu e-mail. W takim przypadku należy powtórzyć konfigurację ochrony, aby zapisać nowy adres e-mail. Jeśli na przykład użytkownik lub grupa otrzymał prawa użytkowania w szablonach lub etykietach, zmodyfikuj te szablony lub etykiety i określ nowy adres e-mail z tymi samymi prawami użytkowania, które zostały przyznane staremu adresowi e-mail.

Pamiętaj, że zmiana adresu e-mail grupy występuje rzadko, więc jeśli przypisujesz prawa użytkowania do grupy, a nie do poszczególnych użytkowników, zmiana adresu e-mail użytkownika nie ma znaczenia. W tym scenariuszu prawa użytkowania są przypisywane do adresu e-mail grupy, a nie do adresów e-mail poszczególnych użytkowników. Jest to najbardziej prawdopodobna (i zalecana) metoda, której administrator może użyć w celu skonfigurowania praw użytkowania chroniących dokumenty i wiadomości e-mail. Użytkownicy mogą jednak przeważnie przypisywać poszczególnym osobom uprawnienia niestandardowe. Ponieważ nie zawsze wiadomo, czy konto użytkownika lub grupy było używane do udzielania dostępu, najbezpieczniej jest zawsze dodać stary adres e-mail jako drugi adres e-mail.

Buforowanie członkostwa w grupach według usługi Azure Information Protection

Ze względu na wydajność członkostwo w grupie w usłudze Azure Information Protection caches. Oznacza to, że wszelkie zmiany członkostwa w grupie w Azure AD mogą obowiązywać do trzech godzin, gdy te grupy są używane przez usługę Azure Information Protection i ten okres może ulec zmianie.

Pamiętaj, aby uwzględnić to opóźnienie w wszelkich zmianach lub testach, które są używane podczas używania grup do udzielania praw użytkowania lub konfigurowania usługi Azure Rights Management lub podczas konfigurowania zasad o określonym zakresie.

Następne kroki

Po potwierdzeniu, że użytkownicy i grupy mogą być używane z usługą Azure Information Protection i wszystko jest gotowe do rozpoczęcia ochrony dokumentów i wiadomości e-mail, sprawdź, czy musisz aktywować usługę Azure Rights Management. Aby można było chronić dokumenty i wiadomości e-mail organizacji, należy aktywować tę usługę:

  • Począwszy od lutego 2018 r.: Jeśli Twoja subskrypcja obejmująca usługę Azure Rights Management lub Azure Information Protection została uzyskana w ciągu lub po tym miesiącu, usługa zostanie automatycznie aktywowana.

  • Jeśli subskrypcja została uzyskana przed lutym 2018 r.: musisz samodzielnie aktywować usługę.

Aby uzyskać więcej informacji, w tym sprawdzanie stanu aktywacji, zobacz Aktywowanie usługi ochrony z usługi Azure Information Protection.