Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Прежде чем использовать службу Azure Rights Management для шифрования содержимого в организации, ознакомьтесь с тем, как служба работает с учетными записями пользователей и групп в Microsoft Entra идентификаторе.
Существует несколько способов создания этих учетных записей для пользователей и групп, в том числе:
Вы создаете пользователей в Центр администрирования Microsoft 365 и группы в Центре администрирования Exchange Online.
Пользователи и группы создаются в портал Azure.
Вы создаете пользователей и группу с помощью командлетов PowerShell.
Вы создаете пользователей и группы в локальная служба Active Directory и синхронизируете их с идентификатором Microsoft Entra.
Вы создаете пользователей и группы в другом каталоге и синхронизируете их с идентификатором Microsoft Entra.
При создании пользователей и групп с помощью первых трех методов из этого списка, за одним исключением, они автоматически создаются с идентификатором Microsoft Entra, и служба Azure Rights Management может использовать эти учетные записи напрямую. Однако некоторые корпоративные сети используют локальный каталог для создания пользователей и групп и управления ими. Служба Azure Rights Management не может использовать эти учетные записи напрямую. Их необходимо синхронизировать с идентификатором Microsoft Entra.
Исключением, упомянутым в предыдущем абзаце, являются динамические списки рассылки, которые можно создать для Exchange Online. В отличие от статических списков рассылки, эти группы не реплицируются в идентификатор Microsoft Entra и поэтому не могут использоваться службой Azure Rights Management.
Использование пользователей и групп службой Azure Rights Management
Существует два сценария использования пользователей и групп со службой Azure Rights Management:
Для параметров шифрования при использовании службы Azure Rights Management для шифрования документов и электронной почты. Администраторы и пользователи могут выбирать пользователей и группы, которые могут открывать зашифрованное содержимое, а также:
Права на использование, определяющие способ использования содержимого. Например, могут ли они только читать его, читать и печатать, а также читать и редактировать.
Элементы управления доступом включают дату окончания срока действия и необходимость подключения к Интернету для доступа.
Чтобы настроить службу Azure Rights Management для поддержки определенных сценариев, поэтому только администраторы выбирают эти группы. Ниже приведены примеры настройки:
Суперпользователей, чтобы назначенные службы или пользователи могли открывать зашифрованное содержимое, если это необходимо для обнаружения электронных данных или восстановления данных.
Делегированное администрирование службы Azure Rights Management.
Подключение элементов управления для поддержки поэтапного развертывания.
Требования к службе Azure Rights Management для учетных записей пользователей
Для параметров шифрования и настройки службы Azure Rights Management:
Для авторизации пользователей используются два атрибута в идентификаторе Microsoft Entra: proxyAddresses и userPrincipalName.
Атрибут Microsoft Entra proxyAddresses хранит все адреса электронной почты для учетной записи и может заполняться различными способами. Например, пользователь в Microsoft 365 с почтовым ящиком Exchange Online автоматически имеет адрес электронной почты, хранящийся в этом атрибуте. Если вы назначите альтернативный адрес электронной почты для пользователя Microsoft 365, он также сохраняется в этом атрибуте. Он также может заполняться адресами электронной почты, синхронизированными из локальных учетных записей.
Служба Azure Rights Management может использовать любое значение в этом атрибуте Microsoft Entra proxyAddresses, при условии, что домен был добавлен в клиент ("проверенный домен"). Дополнительные сведения о проверке доменов:
Для идентификатора Microsoft Entra: добавление личного доменного имени в идентификатор Microsoft Entra.
Для Microsoft 365: добавление домена в Microsoft 365
Атрибут Microsoft Entra userPrincipalName используется только в том случае, если учетная запись в клиенте не имеет значений в атрибуте Microsoft Entra proxyAddresses. Например, вы создаете пользователя в портал Azure или пользователя для Microsoft 365 без почтового ящика.
Параметры шифрования для внешних пользователей
Помимо использования Microsoft Entra proxyAddresses и Microsoft Entra userPrincipalName для пользователей в клиенте служба Azure Rights Management также использует эти атрибуты для авторизации пользователей из другого клиента.
Другие методы авторизации:
Для адресов электронной почты, которые не содержат идентификатор Microsoft Entra, служба Azure Rights Management может авторизовать их при проверке подлинности с помощью учетной записи Майкрософт. Однако не все приложения могут открывать зашифрованное содержимое, если учетная запись Майкрософт используется для проверки подлинности.
Когда сообщение электронной почты отправляется с помощью Шифрование сообщений Microsoft Purview пользователю, у которого нет учетной записи в идентификаторе Microsoft Entra, сначала он проходит проверку подлинности с помощью федерации с поставщиком удостоверений социальных сетей или с помощью однократного секретного кода. Затем для авторизации пользователя используется адрес электронной почты, указанный в защищенном сообщении электронной почты.
Требования к службе Azure Rights Management для групповых учетных записей
Для назначения прав использования и управления доступом:
- Вы можете использовать группу любого типа в Microsoft Entra идентификаторе с адресом электронной почты, содержащим проверенный домен для клиента пользователя. Группу с адресом электронной почты часто называют группой с поддержкой почты.
Чтобы настроить службу Azure Rights Management, выполните следующие действия.
Вы можете использовать группу любого типа в Microsoft Entra идентификаторе с адресом электронной почты из проверенного домена в клиенте, за одним исключением. Это исключение возникает при настройке элементов управления подключения для использования группы, которая должна быть группой безопасности в Microsoft Entra идентификаторе клиента.
Вы можете использовать любую группу в Microsoft Entra идентификатор (с адресом электронной почты или без нее) из проверенного домена в клиенте для делегированного администрирования службы Azure Rights Management.
Параметры шифрования для внешних групп
Помимо использования Microsoft Entra proxyAddresses для групп в клиенте, служба Azure Rights Management также использует этот атрибут таким же образом для авторизации групп из другого клиента.
Использование учетных записей из локальной среды Active Directory
Если у вас есть управляемые локальные учетные записи, которые вы хотите использовать со службой Azure Rights Management, необходимо синхронизировать их с идентификатором Microsoft Entra. Для упрощения развертывания рекомендуется использовать Microsoft Entra Connect. Однако можно использовать любой метод синхронизации каталогов, который обеспечивает тот же результат.
При синхронизации учетных записей не требуется синхронизировать все атрибуты. Список атрибутов, которые необходимо синхронизировать, см. в разделе Azure RMS документации по Microsoft Entra.
Из списка атрибутов для Azure Rights Management вы увидите, что для синхронизации требуются локальные атрибуты AD mail, proxyAddresses и userPrincipalName . Значения для mail и proxyAddresses синхронизируются с атрибутом Microsoft Entra proxyAddresses. Дополнительные сведения см. в разделе Заполнение атрибута proxyAddresses в идентификаторе Microsoft Entra.
Рекомендации при изменении адресов электронной почты
При изменении адреса электронной почты пользователя или группы рекомендуется добавить старый адрес электронной почты в качестве второго адреса электронной почты (также известного как прокси-адрес, псевдоним или альтернативный адрес электронной почты) для пользователя или группы. При этом старый адрес электронной почты добавляется в атрибут Microsoft Entra proxyAddresses. Это администрирование учетной записи обеспечивает непрерывность бизнес-процессов для любых прав использования или других конфигураций, сохраненных при использовании старого адреса электронной почты.
Если это не удается сделать, пользователю или группе с новым адресом электронной почты может быть отказано в доступе к документам и электронным письмам, которые ранее были защищены старым адресом электронной почты. В этом случае необходимо повторить настройку защиты, чтобы сохранить новый адрес электронной почты. Например, если пользователю или группе были предоставлены права использования в шаблонах или метках, измените эти шаблоны или метки и укажите новый адрес электронной почты с теми же правами на использование, что и старый адрес электронной почты.
Обратите внимание, что группа редко изменяет свой адрес электронной почты, и если вы назначаете права на использование группе, а не отдельным пользователям, не имеет значения, если адрес электронной почты пользователя изменится. В этом сценарии права на использование назначаются адресу электронной почты группы, а не отдельным адресам электронной почты пользователей. Это наиболее вероятный (и рекомендуемый) метод для администраторов для настройки прав на использование, которые защищают документы и сообщения электронной почты. Однако обычно пользователи могут назначать пользовательские разрешения для отдельных пользователей. Так как вы не всегда можете узнать, использовалась ли учетная запись пользователя или группа для предоставления доступа, безопаснее всегда добавлять старый адрес электронной почты в качестве второго адреса электронной почты.
Кэширование членства в группах
По соображениям производительности служба Azure Rights Management кэширует членство в группах. Это кэширование означает, что любые изменения в членстве в группах в Microsoft Entra id могут ввести в силу до трех часов, когда эти группы используются службой Azure Rights Management, и этот период времени может быть изменен.
Не забудьте учитывать эту задержку при любых изменениях или тестировании, которые вы выполняете при использовании групп для предоставления прав на использование или настройки службы Azure Rights Management.
Дальнейшие действия
Когда вы подтвердите, что ваши пользователи и группы могут использоваться со службой Azure Rights Management, проверка, нужно ли активировать службу Azure Rights Management:
Начиная с февраля 2018 г. Если ваша подписка, включающая Azure Rights Management или Защита информации Microsoft Purview, была получена в течение или после этого месяца, служба автоматически активируется.
Если подписка была получена до февраля 2018 г.: необходимо активировать службу самостоятельно.
Дополнительные сведения, включая проверку состояния активации, см. в разделе Активация службы Azure Rights Management.