Konfigurowanie bezpiecznej współpracy dokumentów przy użyciu usługi Azure Information Protection

  • Artykuł

W przypadku korzystania z usługi Azure Information Protection możesz chronić dokumenty bez poświęcania współpracy dla autoryzowanych użytkowników. Większość dokumentów tworzonych przez jednego użytkownika, a następnie udostępnianie innym osobom do wyświetlania i edytowania będzie Office dokumentów z programu Word, Excel i PowerPoint. Dokumenty te obsługują ochronę natywną, co oznacza, że oprócz funkcji ochrony autoryzacji i szyfrowania obsługują również ograniczone uprawnienia do bardziej szczegółowej kontroli.

Te uprawnienia są nazywane prawami użytkowania i obejmują uprawnienia, takie jak wyświetlanie, edytowanie, drukowanie. Możesz zdefiniować indywidualne prawa użytkowania, gdy dokument jest chroniony lub można zdefiniować grupowanie praw użytkowania, nazywanych poziomami uprawnień. Poziomy uprawnień ułatwiają wybieranie praw użytkowania, które są zwykle używane razem, na przykład Recenzent i Współautor. Aby uzyskać więcej informacji na temat praw użytkowania i poziomów uprawnień, zobacz Konfigurowanie praw użytkowania dla usługi Azure Information Protection.

Podczas konfigurowania tych uprawnień można określić, którzy użytkownicy są dla nich:

  • W przypadku użytkowników w organizacji lub innej organizacji korzystającej z Azure Active Directory: możesz określić Azure AD konta użytkowników, grupy Azure AD lub wszystkich użytkowników w tej organizacji.

  • W przypadku użytkowników, którzy nie mają konta Azure Active Directory: określ adres e-mail, który będzie używany z kontem Microsoft. To konto może już istnieć lub użytkownicy mogą go utworzyć podczas otwierania chronionego dokumentu.

    Aby otworzyć dokumenty przy użyciu konta Microsoft, użytkownicy muszą używać Microsoft 365 aplikacji (kliknięcie do uruchomienia). Inne wersje i wersje Office nie obsługują jeszcze otwierania dokumentów chronionych Office przy użyciu konta Microsoft.

  • W przypadku dowolnego uwierzytelnionego użytkownika: ta opcja jest odpowiednia, gdy nie musisz kontrolować, kto uzyskuje dostęp do chronionego dokumentu, zapewniając, że użytkownik może zostać uwierzytelniony. Uwierzytelnianie może być Azure AD przy użyciu konta Microsoft, a nawet federacyjnego dostawcy społecznościowego lub jednorazowego kodu dostępu, gdy zawartość jest chroniona przez nowe możliwości szyfrowania komunikatów Office 365.

Jako administrator możesz skonfigurować etykietę usługi Azure Information Protection w celu zastosowania uprawnień i autoryzowanych użytkowników. Ta konfiguracja ułatwia użytkownikom i innym administratorom stosowanie prawidłowych ustawień ochrony, ponieważ po prostu stosują etykietę bez konieczności określania szczegółów. W poniższych sekcjach przedstawiono przykładowy przewodnik dotyczący ochrony dokumentu obsługującego bezpieczną współpracę z użytkownikami wewnętrznymi i zewnętrznymi.

Przykładowa konfiguracja etykiety w celu zastosowania ochrony w celu obsługi wewnętrznej i zewnętrznej współpracy

W tym przykładzie przedstawiono konfigurowanie istniejącej etykiety w celu zastosowania ochrony, dzięki czemu użytkownicy z organizacji mogą współpracować nad dokumentami ze wszystkimi użytkownikami z innej organizacji, która ma Microsoft 365 lub Azure AD, grupy z innej organizacji, która ma Microsoft 365 lub Azure AD, oraz użytkownika, który nie ma konta w Azure AD i zamiast tego użyje swojego adresu e-mail gmaila.

Ponieważ scenariusz ogranicza dostęp do określonych osób, nie zawiera ustawienia dla żadnych uwierzytelnionych użytkowników. Aby zapoznać się z przykładem sposobu konfigurowania etykiety za pomocą tego ustawienia, zobacz Przykład 5: etykieta, która szyfruje zawartość, ale nie ogranicza tego, kto może uzyskać do niego dostęp.

  1. Wybierz etykietę, która znajduje się już w zasadach globalnych lub zasadach o określonym zakresie. W okienku Ochrona upewnij się, że wybrano pozycję Azure (klucz w chmurze).

  2. Upewnij się, że wybrano pozycję Ustaw uprawnienia , a następnie wybierz pozycję Dodaj uprawnienia.

  3. W okienku Dodawanie uprawnień :

    • Dla grupy wewnętrznej: wybierz pozycję Przeglądaj katalog , aby wybrać grupę, która musi być włączona w wiadomości e-mail.

    • Dla wszystkich użytkowników w pierwszej organizacji zewnętrznej: wybierz pozycję Wprowadź szczegóły i wpisz nazwę domeny w dzierżawie organizacji. Na przykład fabrikam.com.

    • W przypadku grupy w drugiej organizacji zewnętrznej: nadal na karcie Wprowadź szczegóły wpisz adres e-mail grupy w dzierżawie organizacji. Na przykład sales@contoso.com.

    • W przypadku użytkownika, który nie ma konta Azure AD: nadal na karcie Wprowadź szczegóły wpisz adres e-mail użytkownika. Na przykład bengi.turan@gmail.com.

  4. Aby udzielić tych samych uprawnień wszystkim użytkownikom: w obszarze Wybierz uprawnienia z ustawień wstępnych wybierz pozycję Współwłaściciel, Współautor, Recenzent lub Niestandardowy, aby wybrać uprawnienia, które chcesz przyznać.

    Na przykład skonfigurowane uprawnienia mogą wyglądać podobnie do następujących:

    Configuring permissions for secure collaboration

  5. Kliknij przycisk OK w okienku Dodawanie uprawnień .

  6. W okienku Ochrona kliknij przycisk OK.

  7. W okienku Etykieta wybierz pozycję Zapisz.

Stosowanie etykiety obsługującej bezpieczną współpracę

Teraz, gdy ta etykieta jest skonfigurowana, można ją zastosować do dokumentów na wiele sposobów, które obejmują następujące elementy:

Różne sposoby stosowania etykiety Więcej informacji
Użytkownik ręcznie wybiera etykietę po utworzeniu dokumentu w aplikacji Office. Użytkownicy wybierają etykietę z przycisku Chroń na wstążce Office lub na pasku usługi Azure Information Protection.
Użytkownicy są monitowani o wybranie etykiety po zapisaniu nowego dokumentu. Skonfigurowano ustawienie zasad usługi Azure Information Protection o nazwie Wszystkie dokumenty i wiadomości e-mail muszą mieć etykietę.
Użytkownik udostępnia dokument pocztą e-mail i ręcznie wybiera etykietę w Outlook. Użytkownicy wybierają etykietę z przycisku Chroń na wstążce Office lub na pasku usługi Azure Information Protection, a dołączony dokument jest automatycznie chroniony przy użyciu tych samych ustawień.
Administrator stosuje etykietę do dokumentu przy użyciu programu PowerShell. Użyj polecenia cmdlet Set-AIPFileLabel , aby zastosować etykietę do określonego dokumentu lub wszystkich dokumentów w folderze.
Ponadto skonfigurowano etykietę w celu zastosowania automatycznej klasyfikacji, która może być teraz stosowana przy użyciu skanera usługi Azure Information Protection lub programu PowerShell. Zobacz How to configure conditions for automatic and recommended classification for Azure Information Protection (Jak skonfigurować warunki automatycznej i zalecanej klasyfikacji dla usługi Azure Information Protection).

Aby ukończyć ten przewodnik, ręcznie zastosuj etykietę podczas tworzenia dokumentu w aplikacji Office:

  1. Jeśli na komputerze klienckim masz już otwartą aplikację Office, najpierw zamknij ją i otwórz ponownie, aby uzyskać najnowsze zmiany zasad, które zawierają nowo skonfigurowaną etykietę.

  2. Zastosuj etykietę do dokumentu i zapisz ją.

Udostępnij chroniony dokument, dołączając go do wiadomości e-mail i wysyłając go do osób upoważnionych do edytowania dokumentu.

Otwieranie i edytowanie chronionego dokumentu

Gdy użytkownicy autoryzowani otworzyli dokument do edycji, dokument zostanie otwarty z banerem informacyjnym informującym o tym, że uprawnienia są ograniczone. Przykład:

Azure Information Protection permissions example information banner

Jeśli wybierze przycisk Wyświetl uprawnienie , zobaczą uprawnienia, które mają. W poniższym przykładzie użytkownik może wyświetlać i edytować dokument:

Azure Information Protection permissions example dialog box

Uwaga: jeśli dokument jest otwierany przez użytkowników zewnętrznych, którzy również korzystają z usługi Azure Information Protection, aplikacja Office nie wyświetla etykiety klasyfikacji dokumentu, chociaż wszystkie oznaczenia wizualne z etykiety pozostają. Zamiast tego użytkownicy zewnętrzni mogą stosować własną etykietę zgodnie z taksonomią klasyfikacji organizacji. Jeśli ci użytkownicy zewnętrzni wysyłają do Ciebie edytowany dokument, Office wyświetla oryginalną etykietę klasyfikacji po ponownym otwarciu dokumentu.

Przed otwarciem chronionego dokumentu nastąpi jeden z następujących przepływów uwierzytelniania:

  • W przypadku użytkowników, którzy mają konto Azure AD, używają poświadczeń Azure AD do uwierzytelnienia przez Azure AD, a dokument zostanie otwarty.

  • W przypadku użytkownika, który nie ma konta Azure AD, jeśli nie jest zalogowany do Office przy użyciu konta z uprawnieniami do otwierania dokumentu, zobacz stronę Konta.

    Na stronie Konta wybierz pozycję Dodaj konto:

    Adding an Microsoft account to open protected document

    Na stronie Logowanie wybierz pozycję Utwórz aplikację ! i postępuj zgodnie z monitami, aby utworzyć nowe konto Microsoft przy użyciu adresu e-mail użytego do udzielenia uprawnień:

    Creating a Microsoft account to open protected document

    Po utworzeniu nowego konta Microsoft konto lokalne przełącza się na to nowe konto Microsoft, a użytkownik może następnie otworzyć dokument.

Obsługiwane scenariusze otwierania chronionych dokumentów

Poniższa tabela zawiera podsumowanie różnych metod uwierzytelniania obsługiwanych do wyświetlania i edytowania chronionych dokumentów.

Ponadto następujące scenariusze obsługują wyświetlanie dokumentów:

  • Przeglądarka Information Protection platformy Azure dla Windows oraz iOS i Android może otwierać pliki przy użyciu konta Microsoft.

  • Przeglądarka może otwierać chronione załączniki, gdy dostawcy usług społecznościowych i jednorazowe kody dostępu są używane do uwierzytelniania za pomocą Exchange Online i nowych funkcji z Office 365 szyfrowania komunikatów.

Platformy do wyświetlania i edytowania dokumentów:
Word, Excel, PowerPoint		 Metoda uwierzytelniania:
Azure AD		 Metoda uwierzytelniania:
Konto Microsoft
Windows Tak [1] Tak (aplikacje Microsoft 365 i Microsoft Office 2019)
iOS Tak [1] Tak (wersja 2.42 i nowsza)
Android Tak [1] Tak (wersja 16.0.13029 i nowsza)
MacOS Tak [1] Tak (aplikacje Microsoft 365, wersja 16.42 i nowsze)
Przypis 1

Obsługuje konta użytkowników, grupy z obsługą poczty e-mail, wszystkie elementy członkowskie. Konta użytkowników i grupy z obsługą poczty e-mail mogą obejmować konta gości. Wszyscy członkowie wykluczają konta gości.

Następne kroki

Zobacz inne przykładowe konfiguracje etykiet w celu zastosowania ochrony w przypadku typowych scenariuszy. Ten artykuł zawiera również więcej szczegółów na temat ustawień ochrony.

Aby uzyskać więcej informacji na temat innych opcji i ustawień, które można skonfigurować dla etykiety, zobacz Konfigurowanie zasad usługi Azure Information Protection.

Etykieta skonfigurowana w tym artykule tworzy również szablon ochrony o tej samej nazwie. Jeśli masz aplikacje i usługi zintegrowane z szablonami ochrony z usługi Azure Information Protection, mogą zastosować ten szablon. Na przykład rozwiązania DLP i reguły przepływu poczty. Outlook w sieci Web automatycznie wyświetla szablony ochrony z zasad globalnych usługi Azure Information Protection.