Часто задаваемые вопросы о защите данных в Azure Information Protection

У вас есть вопрос о службе защиты данных Azure Rights Management из Azure Information Protection? Посмотрите, есть ли здесь ответ.

Должны ли файлы быть в облаке для защиты с помощью Службы управления правами Azure?

Нет, это распространенное заблуждение. Служба Azure Rights Management (и Майкрософт) не видят и не хранят ваши данные в процессе защиты информации. Сведения, которые вы защищаете, никогда не отправляются в Azure и не хранятся в Azure, если вы явно не сохраните их в Azure или не используете другую облачную службу, которая хранит ее в Azure.

Дополнительные сведения см. в статье "Как работает Azure RMS"? Узнайте, как секретная формула, которая создается и хранится локально, защищается службой Azure Rights Management, но остается локальной.

В чем разница между шифрованием Azure Rights Management и шифрованием в других облачных службах Майкрософт?

Корпорация Майкрософт предоставляет несколько технологий шифрования, позволяющих защитить данные для различных и часто взаимодополняющих сценариев. Например, хотя Microsoft 365 предлагает шифрование неактивных данных, хранящихся в Microsoft 365, служба Azure Rights Management из Azure Information Protection независимо от того, где они находятся и как они передаются, шифрует ваши данные.

Эти технологии шифрования дополняют друг друга, и их использование требует включения и настройки независимо друг от друга. При этом у вас может быть возможность использовать собственный ключ для шифрования— сценарий, также известный как BYOK. Включение BYOK для одной из этих технологий не влияет на другие. Например, можно использовать BYOK для Azure Information Protection и не использовать BYOK для других технологий шифрования, и наоборот. Ключи, используемые этими разными технологиями, могут быть одинаковыми или разными в зависимости от способа настройки параметров шифрования для каждой службы.

Можно ли использовать BYOK с Exchange Online?

Да, теперь вы можете использовать BYOK с Exchange Online при выполнении инструкций в разделе "Настройка новых возможностей шифрования сообщений Microsoft 365, созданных на основе Azure Information Protection. Эти инструкции обеспечивают новые возможности в Exchange Online, которые поддерживают использование BYOK для Azure Information Protection, а также новое шифрование Office 365 сообщений.

Дополнительные сведения об этом изменении см. в объявлении блога Office 365 шифрования сообщений с новыми возможностями

Где можно найти сведения о сторонних решениях, которые интегрируются с Azure RMS?

Многие поставщики программного обеспечения уже имеют решения или реализуют решения, которые интегрируются с Azure Rights Management, и список быстро растет. Может оказаться полезным проверить списки приложений с поддержкой RMS и получить последние обновления от Microsoft Mobility@MSFTMobility Twitter. Вы можете и публиковать любые конкретные вопросы интеграции на сайте Azure Information Protection Yammer.

Существует ли пакет управления или аналогичный механизм мониторинга для соединителя RMS?

Хотя соединитель Rights Management регистрирует в журнале событий сведения, предупреждения и сообщения об ошибках, нет пакета управления, который включает мониторинг этих событий. Однако список событий и их описания с дополнительными сведениями, которые помогут вам выполнить коррективные действия, описаны в разделе "Мониторинг соединителя Microsoft Rights Management".

Разделы справки создать пользовательский шаблон в портал Azure?

Пользовательские шаблоны перемещены в портал Azure где можно продолжать управлять ими как шаблонами или преобразовывать их в метки. Чтобы создать новый шаблон, создайте метку и настройте параметры защиты данных для Azure RMS. На самом деле создается новый шаблон, который затем может быть доступ к службам и приложениям, которые интегрируются с шаблонами Rights Management.

Дополнительные сведения о шаблонах в портал Azure см. в разделе "Настройка шаблонов для azure Information Protection".

Я защищен документом и хочу изменить права на использование или добавить пользователей— нужно ли повторно включить защиту документа?

Если документ был защищен с помощью метки или шаблона, повторное включение защиты документа не требуется. Измените метку или шаблон, внося изменения в права на использование или добавьте новые группы (или пользователей), а затем сохраните следующие изменения:

  • Если пользователь не до того, как вы внесли изменения в документ, изменения вступает в силу, как только пользователь открывает документ.

  • Когда пользователь уже имеет доступ к документу, эти изменения вступает в силу по истечении срока действия лицензии на использование. Повторно включите защиту документа, только если вы не можете дождаться истечения срока действия лицензии на использование. При повторной защиты создается новая версия документа и, следовательно, новая лицензия на использование для пользователя.

Кроме того, если вы уже настроите группу для необходимых разрешений, вы можете изменить членство в группе, чтобы включить или исключить пользователей, и нет необходимости изменять метку или шаблон. Прежде чем изменения вступают в силу, может возникнуть небольшая задержка, так как членство в группах кэшируется службой Azure Rights Management.

Если документ был защищен с помощью пользовательских разрешений, изменить разрешения для существующего документа нельзя. Необходимо снова защитить документ и указать всех пользователей и все права на использование, необходимые для этой новой версии документа. Чтобы повторно включить защиту защищенного документа, необходимо иметь право на полный доступ.

Совет. Чтобы проверить, защищен ли документ с помощью шаблона или с помощью настраиваемого разрешения, используйте командлет PowerShell Get-AIPFileStatus . Всегда отображается описание шаблона "Ограниченный доступ для пользовательских разрешений" с уникальным идентификатором шаблона, который не отображается при запуске Get-RMSTemplate.

У меня есть гибридное развертывание Exchange с некоторыми пользователями в Exchange Online и другими Exchange Server— поддерживается ли это Azure RMS?

И самое важное, что пользователи могут легко защищать и использовать защищенные сообщения электронной почты и вложения в двух Exchange развертываниях. Для этой конфигурации активируйте Azure RMS и включите IRM для Exchange Online, а затем разверните и настройте соединитель RMS для Exchange Server.

Если я примею эту защиту для рабочей среды, будет ли моя компания заблокирована в решении или может потерять доступ к содержимому, защищенному с помощью Azure RMS?

Нет, вы всегда управляете данными и можете продолжать получать к ним доступ, даже если вы решили больше не использовать службу Azure Rights Management. Дополнительные сведения см. в статье о выводе из эксплуатации и деактивации Службы управления правами Azure.

Можно ли управлять тем, кто из пользователей может использовать Azure RMS для защиты содержимого?

Да, в службе Azure Rights Management есть элементы управления подключением пользователей для этого сценария. Дополнительные сведения см. в разделе "Настройка элементов управления подключением" раздела "Поэтапное развертывание" статьи "Активация службы защиты из Azure Information Protection".

Можно ли запретить пользователям предоставлять доступ к защищенным документам определенным организациям?

Одним из главных преимуществ использования службы Azure Rights Management для защиты данных является то, что она поддерживает совместную работу между бизнесом без необходимости настраивать явные отношения доверия для каждой партнерской организации, так как Azure AD отвечает за проверку подлинности.

Нет возможности администрирования, чтобы запретить пользователям безопасно делиться документами с определенными организациями. Например, вы хотите заблокировать организацию, которой вы не доверяете или которая имеет конкурирующий бизнес. Запретить службе Azure Rights Management отправлять защищенные документы пользователям в этих организациях не имеет смысла, так как пользователи будут предоставлять общий доступ к незащищенным документам, что, вероятно, является последним действием в этом сценарии. Например, вы не сможете определить, кто предоставляет общий доступ к конфиденциальным документам компании, с которыми пользователи в этих организациях, что можно сделать, когда документ (или электронная почта) защищен службой Azure Rights Management.

Как этот пользователь получает проверку подлинности при совместном использовании защищенного документа с другими пользователями за пределами моей компании?

По умолчанию служба Azure Rights Management использует учетную запись Azure Active Directory и связанный адрес электронной почты для проверки подлинности пользователей, что упрощает совместную работу между бизнес-клиентами для администраторов. Если другая организация использует службы Azure, у пользователей уже есть учетные записи в Azure Active Directory, даже если эти учетные записи создаются и управляются локально, а затем синхронизируются с Azure. Если в организации Microsoft 365, эта служба также использует Azure Active Directory для учетных записей пользователей. Если у организации пользователя нет управляемых учетных записей в Azure, пользователи могут зарегистрироваться в службе RMS для частных лиц, которая создает неуправляемый клиент Azure и каталог для организации с учетной записью пользователя, чтобы затем этот пользователь (и последующие пользователи) могли пройти проверку подлинности в службе Azure Rights Management.

Способ проверки подлинности для этих учетных записей может различаться в зависимости от того, как администратор в другой организации настроит Azure Active Directory учетных записей. Например, они могут использовать пароли, созданные для этих учетных записей, федерации или паролей, которые были созданы в доменные службы Active Directory а затем синхронизированы с Azure Active Directory.

Другие методы проверки подлинности:

  • Если вы защищаете сообщение электронной почты с помощью Office документа пользователю, у которого нет учетной записи в Azure AD, метод проверки подлинности изменяется. Служба Azure Rights Management является федеративной с некоторыми популярными поставщиками удостоверений социальных сетей, такими как Gmail. Если поставщик электронной почты пользователя поддерживается, пользователь может войти в эту службу и его поставщик электронной почты отвечает за проверку подлинности. Если поставщик электронной почты пользователя не поддерживается или в качестве предпочтения, пользователь может применить однофакторный секретный код, который выполняет проверку подлинности и отображает сообщение электронной почты с защищенным документом в веб-браузере.

  • Azure Information Protection может использовать учетные записи Майкрософт для поддерживаемых приложений. В настоящее время не все приложения могут открывать защищенное содержимое, если для проверки подлинности используется учетная запись Майкрософт. Дополнительные сведения

Можно ли добавлять внешних пользователей (людей из-за пределов моей компании) в пользовательские шаблоны?

Да. Параметры защиты, которые можно настроить в портал Azure позволяют добавлять разрешения пользователям и группам за пределами организации и даже всем пользователям в другой организации. Возможно, вам будет полезно сослаться на пошаговый пример безопасной совместной работы с документами с помощью Azure Information Protection.

Обратите внимание, что если у вас есть метки Azure Information Protection, необходимо сначала преобразовать пользовательский шаблон в метку, прежде чем можно будет настроить эти параметры защиты в портал Azure. Дополнительные сведения см. в разделе "Настройка шаблонов для azure Information Protection".

Кроме того, вы можете добавлять внешних пользователей в пользовательские шаблоны (и метки) с помощью PowerShell. Для этой конфигурации необходимо использовать объект определения прав, используемый для обновления шаблона:

  1. Укажите внешние адреса электронной почты и их права в объекте определения прав с помощью командлета New-AipServiceRightsDefinition для создания переменной.

  2. Предоставьте эту переменную параметру RightsDefinition с помощью командлета Set-AipServiceTemplateProperty .

    При добавлении пользователей в существующий шаблон необходимо определить объекты определения прав для существующих пользователей в шаблонах в дополнение к новым пользователям. В этом сценарии может оказаться полезным пример 3. Добавление новых пользователей и прав в пользовательский шаблон из раздела примеров для командлета.

Какой тип групп можно использовать с Azure RMS?

В большинстве сценариев в Azure AD можно использовать любой тип группы с адресом электронной почты. Это правило всегда применяется при назначении прав на использование, но существуют некоторые исключения для администрирования службы Azure Rights Management. Дополнительные сведения см. в Information Protection azure для учетных записей групп.

Разделы справки защищенное сообщение электронной почты в учетную запись Gmail или Hotmail?

При использовании Exchange Online и службы Azure Rights Management вы просто отправляете сообщение электронной почты пользователю в качестве защищенного сообщения. Например, можно нажатие новой кнопки "Защитить" на панели команд в Outlook Интернете, использовать кнопку Outlook "Не пересылать" или пункт меню. Вы также можете выбрать метку Azure Information Protection, которая автоматически применяет параметр "Не пересылать" и классифицирует сообщение электронной почты.

Получатель видит возможность входа в свою учетную запись Gmail, Yahoo или Майкрософт, а затем может прочитать защищенное сообщение электронной почты. Кроме того, они могут выбрать параметр для однофакторного секретного кода для чтения сообщения электронной почты в браузере.

Для поддержки этого сценария Exchange Online для службы Azure Rights Management и новые возможности шифрования Office 365 сообщений. Дополнительные сведения об этой конфигурации см. в Exchange Online: Конфигурация IRM.

Дополнительные сведения о новых возможностях, включая поддержку всех учетных записей электронной почты на всех устройствах, см. в следующей записи блога: Объявление о новых возможностях, доступных в Office 365 сообщений.

Какие устройства и какие типы файлов поддерживаются Azure RMS?

Список устройств, поддерживающих службу Azure Rights Management, см. на клиентских устройствах, поддерживающих защиту данных Azure Rights Management. Так как не все поддерживаемые устройства в настоящее время поддерживают все возможности Rights Management, обязательно проверьте таблицы для приложений, поддерживающих RMS.

Служба Azure Rights Management может поддерживать все типы файлов. Для текстовых, изображений, Microsoft Office файлов (Word, Excel, PowerPoint), файлов .pdf и некоторых других типов файлов приложений Azure Rights Management обеспечивает собственную защиту, которая включает шифрование и принудительное применение прав (разрешений). Для всех других приложений и типов файлов универсальная защита обеспечивает инкапсуляцию файлов и проверку подлинности, чтобы проверить, авторизован ли пользователь для открытия файла.

Список расширений имен файлов, изначально поддерживаемых Службой управления правами Azure, см. в статье о типах файлов, поддерживаемых клиентом Azure Information Protection Azure. Расширения имен файлов, не перечисленные в списке, поддерживаются с помощью клиента Azure Information Protection, который автоматически применяет универсальную защиту к этим файлам.

Когда я открываю документ, защищенный Office RMS, будет ли связанный временный файл также защищен от RMS?

Нет. В этом сценарии связанный временный файл не содержит данные из исходного документа, а только то, что пользователь вводит во время открытия файла. В отличие от исходного файла, временный файл, очевидно, не предназначен для совместного использования и останется на устройстве, защищенном локальными элементами управления безопасностью, такими как BitLocker и EFS.

Функция, которую я ищете, не работает с SharePoint защищенными библиотеками— планируется ли поддержка моей функции?

В настоящее время microsoft SharePoint поддерживает документы, защищенные RMS, с помощью библиотек, защищенных IRM, которые не поддерживают шаблоны Rights Management, отслеживание документов и некоторые другие возможности. Дополнительные сведения см. в разделе SharePoint Microsoft 365 и SharePoint Server в Office приложениях и службах.

Если вас интересует конкретная возможность, которая еще не поддерживается, следите за объявлениями в блоге Enterprise Mobility and Security.

Разделы справки one Drive в SharePoint, чтобы пользователи могли безопасно делиться своими файлами с пользователями внутри и за пределами компании?

По умолчанию администратор Microsoft 365 не настраивает это; это могут делать пользователи.

Так же как администратор SharePoint включает и настраивает IRM для библиотеки SharePoint, которой он владеет, OneDrive предназначен для пользователей, чтобы включить и настроить IRM для собственной библиотеки OneDrive. Однако с помощью PowerShell это можно сделать для них. Инструкции см. в SharePoint разделах Microsoft 365 и OneDrive: конфигурация IRM.

У вас есть советы или рекомендации по успешному развертыванию?

После наблюдения за множеством развертываний и прослушивания клиентов, партнеров, консультантов и инженеров службы поддержки — один из самых важных советов, которые мы можем передать на основе опыта: проектирование и развертывание простых политик.

Так как Azure Information Protection безопасное совместное использование с любым пользователем, вы можете быть неуважаемой в области защиты данных. Но будьте осторожны при настройке ограничений на использование прав. Для многих организаций наибольшее влияние на бизнес заключается в предотвращении утечки данных путем ограничения доступа к пользователям в организации. Конечно, вы можете получить гораздо более детализированные данные, если это необходимо— запретить пользователям печатать, редактировать и т. д. Но сохраните более детальные ограничения в качестве исключения для документов, которым действительно требуется высокий уровень безопасности, и не реализуйте эти более строгие права на использование на первый день, а запланируйте более поэтапный подход.

Как восстановить доступ к файлам, защищенным сотрудником, который покинул организацию?

Используйте функцию суперпользователя, которая предоставляет авторизованным пользователям права на полный доступ для всех документов и сообщений электронной почты, защищенных клиентом. Суперпользоваемые пользователи всегда могут прочитать это защищенное содержимое и при необходимости удалить защиту или повторно включить ее для разных пользователей. Эта же функция позволяет авторизованной службе индексировать и проверять файлы по мере необходимости.

Если содержимое хранится в SharePoint или OneDrive, администраторы могут запустить командлет Unlock-SensitivityLabelEncryptedFile, чтобы удалить метку конфиденциальности и шифрование. Дополнительные сведения см. в Microsoft 365 документации.

Может ли Rights Management препятствовать захвату экрана?

Не предоставив права copyusage, Rights Management может предотвратить захват экрана из многих часто используемых средств захвата экрана на платформах Windows (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile и Windows 11). Однако устройства iOS, Mac и Android не позволяют приложению предотвращать захват экрана. Кроме того, браузеры на любом устройстве не могут препятствовать захвату экрана. Использование браузера включает Outlook в Интернете и Office для Интернета.

Примечание

Теперь развертывание в Current Channel (предварительная версия): в Office для Mac, Word, Excel и PowerPoint (но не Outlook) теперь поддерживается право rights Management для предотвращения захвата экрана.

Предотвращение захвата экрана помогает избежать случайного или неосторожного раскрытия конфиденциальной или конфиденциальной информации. Но существует множество способов, которыми пользователь может поделиться данными, отображаемые на экране, и сделать снимок экрана — это только один из способов. Например, намерение пользователя поделиться отображаемой информацией может сделать ее снимок с помощью телефона камеры, повторно вставить данные или просто ретранслть их кому-либо.

Как показано в этих примерах, даже если все платформы и все программное обеспечение поддерживали API Rights Management для блокировки снимков экрана, одни технологии не всегда могут запретить пользователям предоставлять общий доступ к данным, которые им не следует предоставлять. Rights Management может помочь защитить важные данные с помощью политик авторизации и использования, но это корпоративное решение для управления правами следует использовать с другими средствами контроля. Например, реализуйте физическую безопасность, тщательно отслеживайте и отслеживайте пользователей, имеющих авторизованный доступ к данным вашей организации, и вкладывайте средства в обучение пользователей, чтобы пользователи могли понять, какие данные не следует совместно использовать.

В чем разница между пользователем, который защищает сообщение электронной почты с помощью функции "Не пересылать", и шаблоном, который не включает право пересылки?

Несмотря на его имя и внешний вид, "Не пересылать" не является противоположностью правого или шаблона. На самом деле это набор прав, включающее ограничение копирования, печати и сохранения электронной почты за пределами почтового ящика, а также ограничение переадресации сообщений электронной почты. Права динамически применяются к пользователям через выбранных получателей, а не статически назначаются администратором. Дополнительные сведения см. в разделе "Не пересылать" для сообщений электронной почты в разделе "Настройка прав на использование для azure Information Protection".

В чем разница между Windows Server FCI и сканером Information Protection Azure?

Windows классификации файлов сервера исторически можно классифицировать документы, а затем защищать их с помощью соединителя Rights Management (только Office документов) или скрипта PowerShell (все типы файлов).

Теперь мы рекомендуем использовать средство проверки Information Protection Azure. Сканер использует клиент Azure Information Protection и политику Azure Information Protection для маркировки документов (всех типов файлов), чтобы затем классифицировать и при необходимости защитить эти документы.

Основные различия между этими двумя решениями:

Windows FCI сервера Сканер Information Protection Azure
Поддерживаемые хранилища данных Локальные папки на Windows Server — Windows файловых ресурсов и подключенного к сети хранилища

— SharePoint Server 2016 и SharePoint Server 2013. SharePoint Server 2010 также поддерживается для клиентов с расширенной поддержкой этой версии SharePoint.
Рабочий режим Реальное время Систематический обход хранилищ данных один или несколько раз
Поддерживаемые типы файлов — Все типы файлов защищены по умолчанию.

— Определенные типы файлов можно исключить из защиты путем изменения реестра.
Поддержка типов файлов:

— Office типов файлов и PDF-документов защищены по умолчанию.

— Дополнительные типы файлов можно включить для защиты путем изменения реестра.