Przygotowywanie użytkowników i grup do usługi Azure Information Protection
Uwaga
Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?
Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.
Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.
Przed wdrożeniem usługi Azure Information Protection dla organizacji upewnij się, że masz konta użytkowników i grup w usłudze Microsoft Entra ID dla dzierżawy organizacji.
Istnieją różne sposoby tworzenia tych kont dla użytkowników i grup, które obejmują:
Utworzysz użytkowników w Centrum administracyjne platformy Microsoft 365 i grupy w centrum administracyjnym usługi Exchange Online.
Utworzysz użytkowników i grupy w witrynie Azure Portal.
Utworzysz użytkowników i grupę przy użyciu poleceń cmdlet programu PowerShell usługi Azure AD i usługi Exchange Online.
Utworzysz użytkowników i grupy w lokalna usługa Active Directory i zsynchronizuj je z identyfikatorem Entra firmy Microsoft.
Utworzysz użytkowników i grupy w innym katalogu i zsynchronizuj je z identyfikatorem Entra firmy Microsoft.
Podczas tworzenia użytkowników i grup przy użyciu pierwszych trzech metod z tej listy, z jednym wyjątkiem, są one automatycznie tworzone w usłudze Microsoft Entra ID, a usługa Azure Information Protection może używać tych kont bezpośrednio. Jednak wiele sieci przedsiębiorstwa używa katalogu lokalnego do tworzenia użytkowników i grup oraz zarządzania nimi. Usługa Azure Information Protection nie może bezpośrednio używać tych kont; należy je zsynchronizować z identyfikatorem Entra firmy Microsoft.
Wyjątek, o którym mowa w poprzednim akapicie, to dynamiczne listy dystrybucyjne, które można utworzyć dla usługi Exchange Online. W przeciwieństwie do statycznych list dystrybucyjnych te grupy nie są replikowane do identyfikatora Entra firmy Microsoft i nie mogą być używane przez usługę Azure Information Protection.
Jak użytkownicy i grupy są używane przez usługę Azure Information Protection
Istnieją trzy scenariusze korzystania z użytkowników i grup w usłudze Azure Information Protection:
Aby przypisywać etykiety do użytkowników podczas konfigurowania zasad usługi Azure Information Protection, aby można było stosować etykiety do dokumentów i wiadomości e-mail. Tylko administratorzy mogą wybrać tych użytkowników i grupy:
- Domyślne zasady usługi Azure Information Protection są automatycznie przypisywane do wszystkich użytkowników w identyfikatorze Microsoft Entra w dzierżawie. Można jednak również przypisać dodatkowe etykiety do określonych użytkowników lub grup przy użyciu zasad o określonym zakresie.
Do przypisywania praw użytkowania i kontroli dostępu w przypadku korzystania z usługi Azure Rights Management w celu ochrony dokumentów i wiadomości e-mail. Administracja istratory i użytkownicy mogą wybrać tych użytkowników i grupy:
Prawa użytkowania określają, czy użytkownik może otworzyć dokument lub wiadomość e-mail oraz jak może z niego korzystać. Na przykład niezależnie od tego, czy mogą go odczytywać, odczytywać i drukować, czy też odczytywać i edytować.
Mechanizmy kontroli dostępu obejmują datę wygaśnięcia i to, czy połączenie z Internetem jest wymagane do uzyskania dostępu.
Aby skonfigurować usługę Azure Rights Management w celu obsługi określonych scenariuszy, a zatem tylko administratorzy wybierają te grupy. Przykłady obejmują konfigurowanie następujących elementów:
Superuzyjni użytkownicy, dzięki czemu wyznaczone usługi lub osoby mogą otwierać zaszyfrowaną zawartość, jeśli jest to wymagane na potrzeby zbierania elektronicznych materiałów dowodowych lub odzyskiwania danych.
Delegowane administrowanie usługą Azure Rights Management.
Kontrolki dołączania do obsługi wdrożenia etapowego.
Wymagania usługi Azure Information Protection dotyczące kont użytkowników
W przypadku przypisywania etykiet:
- Wszystkie konta użytkowników w usłudze Microsoft Entra ID mogą służyć do konfigurowania zasad o określonym zakresie, które przypisują dodatkowe etykiety do użytkowników.
Do przypisywania praw użytkowania i kontroli dostępu oraz konfigurowania usługi Azure Rights Management:
Aby autoryzować użytkowników, używane są dwa atrybuty w identyfikatorze Entra firmy Microsoft: proxyAddresses i userPrincipalName.
Atrybut Microsoft Entra proxyAddresses przechowuje wszystkie adresy e-mail dla konta i można je wypełnić na różne sposoby. Na przykład użytkownik platformy Microsoft 365, który ma skrzynkę pocztową usługi Exchange Online, automatycznie ma adres e-mail przechowywany w tym atrybucie. Jeśli przypiszesz alternatywny adres e-mail użytkownika platformy Microsoft 365, zostanie on również zapisany w tym atrybucie. Można go również wypełnić za pomocą adresów e-mail synchronizowanych z kont lokalnych.
Usługa Azure Information Protection może użyć dowolnej wartości w tym atrybucie Microsoft Entra proxyAddresses, zapewniając, że domena została dodana do dzierżawy ("zweryfikowana domena"). Aby uzyskać więcej informacji na temat weryfikowania domen:
W przypadku identyfikatora entra firmy Microsoft: Dodaj niestandardową nazwę domeny do identyfikatora Entra firmy Microsoft
W przypadku usługi Office 365: dodawanie domeny do usługi Office 365
Atrybut Microsoft Entra userPrincipalName jest używany tylko wtedy, gdy konto w dzierżawie nie ma wartości w atrybucie Microsoft Entra proxyAddresses. Możesz na przykład utworzyć użytkownika w witrynie Azure Portal lub utworzyć użytkownika dla platformy Microsoft 365, który nie ma skrzynki pocztowej.
Przypisywanie praw użytkowania i kontroli dostępu do użytkowników zewnętrznych
Oprócz korzystania z atrybutów ProxyAddresses firmy Microsoft i Microsoft Entra userPrincipalName dla użytkowników w dzierżawie usługa Azure Information Protection używa również tych atrybutów w taki sam sposób, aby autoryzować użytkowników z innej dzierżawy.
Inne metody autoryzacji:
W przypadku adresów e-mail, które nie znajdują się w identyfikatorze entra firmy Microsoft, usługa Azure Information Protection może autoryzować te adresy po uwierzytelnieniu przy użyciu konta Microsoft. Jednak nie wszystkie aplikacje mogą otwierać chronioną zawartość, gdy konto Microsoft jest używane do uwierzytelniania. Więcej informacji
Gdy wiadomość e-mail jest wysyłana przy użyciu szyfrowania wiadomości usługi Office 365 z nowymi funkcjami dla użytkownika, który nie ma konta w usłudze Microsoft Entra ID, użytkownik jest najpierw uwierzytelniany przy użyciu federacji z dostawcą tożsamości społecznościowych lub przy użyciu jednorazowego kodu dostępu. Następnie adres e-mail określony w chronionej wiadomości e-mail jest używany do autoryzowania użytkownika.
Wymagania usługi Azure Information Protection dotyczące kont grup
W przypadku przypisywania etykiet:
Aby skonfigurować zasady o określonym zakresie, które przypisują dodatkowe etykiety do członków grupy, można użyć dowolnego typu grupy w identyfikatorze Entra firmy Microsoft, który ma adres e-mail zawierający zweryfikowaną domenę dla dzierżawy użytkownika. Grupa, która ma adres e-mail, jest często nazywana grupą z obsługą poczty.
Można na przykład użyć grupy zabezpieczeń obsługującej pocztę, statycznej grupy dystrybucyjnej i grupy platformy Microsoft 365. Nie można użyć grupy zabezpieczeń (dynamicznej lub statycznej), ponieważ ten typ grupy nie ma adresu e-mail. Nie można również użyć dynamicznej listy dystrybucyjnej z usługi Exchange Online, ponieważ ta grupa nie jest replikowana do identyfikatora Entra firmy Microsoft.
Do przypisywania praw użytkowania i kontroli dostępu:
- Możesz użyć dowolnego typu grupy w identyfikatorze Entra firmy Microsoft, który ma adres e-mail zawierający zweryfikowaną domenę dla dzierżawy użytkownika. Grupa, która ma adres e-mail, jest często nazywana grupą z obsługą poczty.
Aby skonfigurować usługę Azure Rights Management:
Możesz użyć dowolnego typu grupy w identyfikatorze Entra firmy Microsoft, który ma adres e-mail z zweryfikowanej domeny w dzierżawie, z jednym wyjątkiem. Ten wyjątek występuje podczas konfigurowania kontrolek dołączania do używania grupy, która musi być grupą zabezpieczeń w identyfikatorze Entra firmy Microsoft dla dzierżawy.
Możesz użyć dowolnej grupy w identyfikatorze Entra firmy Microsoft (z adresem e-mail lub bez niego) ze zweryfikowanej domeny w dzierżawie do delegowanego administrowania usługą Azure Rights Management.
Przypisywanie praw użytkowania i kontroli dostępu do grup zewnętrznych
Oprócz używania atrybutu ProxyAddresses firmy Microsoft dla grup w dzierżawie usługa Azure Information Protection używa również tego atrybutu w taki sam sposób, aby autoryzować grupy z innej dzierżawy.
Używanie kont z lokalnej usługi Active Directory dla usługi Azure Information Protection
Jeśli masz konta zarządzane lokalnie, których chcesz używać z usługą Azure Information Protection, musisz zsynchronizować te konta z identyfikatorem Entra firmy Microsoft. Aby ułatwić wdrażanie, zalecamy korzystanie z Połączenie firmy Microsoft. Można jednak użyć dowolnej metody synchronizacji katalogów, która osiąga ten sam wynik.
Podczas synchronizowania kont nie trzeba synchronizować wszystkich atrybutów. Aby uzyskać listę atrybutów, które muszą być zsynchronizowane, zobacz sekcję Azure RMS w dokumentacji firmy Microsoft Entra.
Z listy atrybutów usługi Azure Rights Management widać, że dla użytkowników do synchronizacji są wymagane lokalne atrybuty usługi AD poczty, proxyAddresses i userPrincipalName. Wartości adresów e-mail i proxyAddresses są synchronizowane z atrybutem Microsoft Entra proxyAddresses. Aby uzyskać więcej informacji, zobacz Jak atrybut proxyAddresses jest wypełniany w identyfikatorze Entra firmy Microsoft
Potwierdzanie, że użytkownicy i grupy są przygotowani na potrzeby usługi Azure Information Protection
Możesz użyć programu Azure AD PowerShell, aby potwierdzić, że użytkownicy i grupy mogą być używane z usługą Azure Information Protection. Możesz również użyć programu PowerShell, aby potwierdzić wartości, których można użyć do ich autoryzowania.
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Na przykład przy użyciu modułu programu PowerShell w wersji 1 dla usługi Microsoft Entra ID, MSOnline, w sesji programu PowerShell najpierw połącz się z usługą i podaj poświadczenia administratora globalnego:
Connect-MsolService
Uwaga: Jeśli to polecenie nie działa, możesz uruchomić polecenie Install-Module MSOnline
, aby zainstalować moduł MSOnline.
Następnie skonfiguruj sesję programu PowerShell, aby nie obcinała wartości:
$Formatenumerationlimit =-1
Potwierdzanie, że konta użytkowników są gotowe do korzystania z usługi Azure Information Protection
Aby potwierdzić konta użytkowników, uruchom następujące polecenie:
Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses
Pierwszym sprawdzeniem jest upewnienie się, że są wyświetlani użytkownicy, których chcesz używać z usługą Azure Information Protection.
Następnie sprawdź, czy kolumna ProxyAddresses jest wypełniona. Jeśli tak jest, wartości wiadomości e-mail w tej kolumnie mogą służyć do autoryzowania użytkownika usługi Azure Information Protection.
Jeśli kolumna ProxyAddresses nie zostanie wypełniona, wartość w poleceniu UserPrincipalName zostanie użyta do autoryzowania użytkownika dla usługi Azure Rights Management.
Na przykład:
Wyświetlana nazwa | UserPrincipalName | ProxyAddresses |
---|---|---|
Jagannath Reddy | jagannathreddy@contoso.com | {} |
Ankur Roy | ankurroy@contoso.com | {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com} |
W tym przykładzie:
Konto użytkownika jagannath Reddy będzie autoryzowane przez użytkownika .jagannathreddy@contoso.com
Konto użytkownika dla platformy Ankur Roy może być autoryzowane przy użyciu metod ankur.roy@contoso.com i ankur.roy@onmicrosoft.contoso.com, ale nie ankurroy@contoso.com.
W większości przypadków wartość UserPrincipalName odpowiada jednej z wartości w polu ProxyAddresses. Jest to zalecana konfiguracja, ale jeśli nie można zmienić nazwy UPN tak, aby odpowiadała adresowi e-mail, należy wykonać następujące czynności:
Jeśli nazwa domeny w wartości nazwy UPN jest zweryfikowaną domeną dla dzierżawy firmy Microsoft Entra, dodaj wartość NAZWY UPN jako inny adres e-mail w identyfikatorze Entra firmy Microsoft, aby wartość nazwy UPN mogła być teraz używana do autoryzowania konta użytkownika dla usługi Azure Information Protection.
Jeśli nazwa domeny w wartości nazwy UPN nie jest zweryfikowaną domeną dla dzierżawy, nie można jej używać z usługą Azure Information Protection. Jednak użytkownik może być nadal autoryzowany jako członek grupy, gdy adres e-mail grupy używa zweryfikowanej nazwy domeny.
Jeśli nazwa UPN nie jest routingowa (na przykład ), skonfiguruj alternatywny identyfikator logowania dla użytkowników i poinstruuj ich, ankurroy@contoso.localjak zalogować się do pakietu Office przy użyciu tego alternatywnego identyfikatora logowania. Należy również ustawić klucz rejestru dla pakietu Office.
W przypadku zmian nazwy UPN dla użytkowników nastąpi utrata ciągłości działania przez co najmniej 24 godziny lub do momentu prawidłowego odzwierciedlenia zmian nazwy UPN w systemie.
Aby uzyskać więcej informacji, zobacz Konfigurowanie alternatywnego identyfikatora logowania i aplikacja pakietu Office licacji okresowo monitować o poświadczenia do programów SharePoint, OneDrive i Lync Online.
Napiwek
Możesz użyć polecenia cmdlet Export-Csv, aby wyeksportować wyniki do arkusza kalkulacyjnego, aby ułatwić zarządzanie, takie jak wyszukiwanie i edytowanie zbiorcze na potrzeby importowania.
Przykład: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv
Uwaga
W przypadku zmian nazwy UPN dla użytkowników nastąpi utrata ciągłości działania przez co najmniej 24 godziny lub do momentu prawidłowego odzwierciedlenia zmian nazwy UPN w systemie.
Potwierdzanie, że konta grup są gotowe do korzystania z usługi Azure Information Protection
Aby potwierdzić konta grup, użyj następującego polecenia:
Get-MsolGroup | select DisplayName, ProxyAddresses
Upewnij się, że są wyświetlane grupy, których chcesz używać z usługą Azure Information Protection. W przypadku wyświetlanych grup adresy e-mail w kolumnie ProxyAddresses mogą służyć do autoryzowania członków grupy dla usługi Azure Rights Management.
Następnie sprawdź, czy grupy zawierają użytkowników (lub inne grupy), których chcesz użyć w usłudze Azure Information Protection. Możesz użyć programu PowerShell, aby to zrobić (na przykład Get-MsolGroupMember) lub użyć portalu zarządzania.
W przypadku dwóch scenariuszy konfiguracji usługi Azure Rights Management korzystających z grup zabezpieczeń można użyć następującego polecenia programu PowerShell, aby znaleźć identyfikator obiektu i nazwę wyświetlaną, która może służyć do identyfikowania tych grup. Możesz również użyć witryny Azure Portal, aby znaleźć te grupy i skopiować wartości identyfikatora obiektu i nazwy wyświetlanej:
Get-MsolGroup | where {$_.GroupType -eq "Security"}
Zagadnienia dotyczące usługi Azure Information Protection w przypadku zmiany adresów e-mail
Jeśli zmienisz adres e-mail użytkownika lub grupy, zalecamy dodanie starego adresu e-mail jako drugiego adresu e-mail (znanego również jako adres proxy, alias lub alternatywny adres e-mail) do użytkownika lub grupy. Gdy to zrobisz, stary adres e-mail zostanie dodany do atrybutu Microsoft Entra proxyAddresses. Ta administracja konta zapewnia ciągłość działania dla wszelkich praw użytkowania lub innych konfiguracji, które zostały zapisane, gdy stary adres e-mail był używany.
Jeśli nie możesz tego zrobić, użytkownik lub grupa z nowym adresem e-mail grozi odmową dostępu do dokumentów i wiadomości e-mail, które były wcześniej chronione za pomocą starego adresu e-mail. W takim przypadku należy powtórzyć konfigurację ochrony, aby zapisać nowy adres e-mail. Jeśli na przykład użytkownik lub grupa otrzymał prawa użytkowania w szablonach lub etykietach, zmodyfikuj te szablony lub etykiety i określ nowy adres e-mail z tymi samymi prawami użytkowania, które zostały przyznane staremu adresowi e-mail.
Należy pamiętać, że grupa rzadko zmienia swój adres e-mail, a jeśli przypiszesz prawa użytkowania do grupy, a nie do poszczególnych użytkowników, nie ma znaczenia, czy adres e-mail użytkownika ulegnie zmianie. W tym scenariuszu prawa użytkowania są przypisywane do adresu e-mail grupy, a nie poszczególnych adresów e-mail użytkowników. Jest to najbardziej prawdopodobna (i zalecana) metoda dla administratora w celu skonfigurowania praw użytkowania, które chronią dokumenty i wiadomości e-mail. Jednak użytkownicy mogą częściej przypisywać uprawnienia niestandardowe dla poszczególnych użytkowników. Ponieważ nie zawsze wiesz, czy konto użytkownika lub grupa została użyta do udzielenia dostępu, zawsze można bezpiecznie dodać stary adres e-mail jako drugi adres e-mail.
Buforowanie członkostwa w grupach przez usługę Azure Information Protection
Ze względu na wydajność członkostwo w grupie usługi Azure Information Protection jest buforowane. Oznacza to, że wszelkie zmiany członkostwa w grupie w usłudze Microsoft Entra ID mogą obowiązywać do trzech godzin, gdy te grupy są używane przez usługę Azure Information Protection, a ten okres może ulec zmianie.
Pamiętaj, aby uwzględnić to opóźnienie w wszelkich zmianach lub testach, które należy wykonać podczas korzystania z grup do udzielania praw użytkowania lub konfigurowania usługi Azure Rights Management lub podczas konfigurowania zasad o określonym zakresie.
Następne kroki
Po potwierdzeniu, że użytkownicy i grupy mogą być używane z usługą Azure Information Protection i wszystko jest gotowe do rozpoczęcia ochrony dokumentów i wiadomości e-mail, sprawdź, czy musisz aktywować usługę Azure Rights Management. Aby można było chronić dokumenty i wiadomości e-mail organizacji, należy aktywować tę usługę:
Począwszy od lutego 2018 r.: Jeśli Twoja subskrypcja obejmująca usługę Azure Rights Management lub Azure Information Protection została uzyskana w ciągu lub po tym miesiącu, usługa zostanie automatycznie aktywowana.
Jeśli subskrypcja została uzyskana przed lutym 2018 r.: musisz samodzielnie aktywować usługę.
Aby uzyskać więcej informacji, w tym sprawdzanie stanu aktywacji, zobacz Aktywowanie usługi ochrony z usługi Azure Information Protection.