Как приложения и службы Office поддерживают Azure Rights Management

Службы и приложения Office для конечных пользователей могут использовать службу Azure Rights Management из Azure Information Protection для защиты данных организации. Этими приложениями Office являются Word, Excel, PowerPoint и Outlook, Службы Office — Exchange и Microsoft SharePoint. В конфигурациях Office, которые поддерживают службу Azure Rights Management, часто используется термин управление правами на доступ к данным (IRM).

Приложения Office 365: Word, Excel, PowerPoint, Outlook

Эти приложения поддерживают встроенную функцию Azure Rights Management и позволяют пользователям применять защиту к сохраненной документации или к отправляемым сообщениям электронной почты. Пользователи могут использовать шаблоны для применения защиты. Или в приложениях Word, Excel и PowerPoint они могут выбирать специальные параметры для ограничений доступа, прав и использования.

Например, пользователи могут настроить документ Word так, чтобы он был доступен только сотрудникам вашей организации. Или контролировать возможность редактирования электронной таблицы Excel, предоставлять к ней доступ только для чтения или запретить ее печать. Для зависимых от времени файлов можно настроить срок действия, после которого файл станет недоступным. Эту конфигурацию могут выполнить пользователи или же можно применить шаблон защиты. В Outlook пользователи также могут выбирать параметр Do Not Forward (Не пересылать), чтобы предотвратить утечку данных.

Если вы готовы настроить приложения Office , см. статью "Настройка для клиентов".

Сведения о соответствующих известных проблемах см. в статье об известных проблемах AIP в приложениях Office.

Exchange Online и Exchange Server

При использовании Exchange Online или Exchange Server можно настроить параметры для Azure Information Protection. Благодаря этой конфигурации Exchange предоставляют следующие решения для защиты.

  • Exchange ActiveSync IRM позволяет мобильным устройствам защищать сообщения электронной почты и использовать защищенные сообщения.

  • Поддержка защиты электронной почты Outlook в Интернете, которая реализуется так же, как в клиенте Outlook. Эта конфигурация позволяет пользователям защищать сообщения электронной почты с помощью шаблонов защиты или параметров. Пользователи могут читать и использовать защищенные сообщения, которые были им отправлены.

  • Правила защиты для клиентов Outlook, настраиваемые администраторами для автоматического применения шаблонов защиты и параметров к сообщениям электронной почты для указанных получателей. Например, можно разрешить чтение внутренних сообщений электронной почты, отправленных в юридический отдел, только сотрудникам юридического отдела, и запретить пересылку таких сообщений. Пользователь видит защиту, которая применяется к сообщению электронной почты, еще до его отправки, и по умолчанию может удалить ее, если сочтет излишней. Перед отправкой сообщения электронной почты шифруются. Дополнительные сведения см. в разделах Правила защиты Outlook и Создание правила защиты Outlook в библиотеке Exchange.

  • Правила потока обработки почты, настраиваемые администратором для автоматического применения шаблонов защиты или параметров к сообщениям электронной почты. Эти правила основаны на свойствах, таких как отправитель, получатель, тема сообщения и содержимое. По своей концепции эти правила аналогичны правилам защиты, но они не позволяют пользователям снимать защиту, так как защита устанавливается с помощью службы Exchange, а не с помощью клиента. Поскольку защита устанавливается с помощью службы, тип устройства и операционная система пользователей не имеют значения. Дополнительные сведения см. в разделах Правила потока почты (транспортные правила) в Exchange Online и Создание правила защиты транспорта для локального Exchange.

  • Политики защиты от потери данных (DLP), содержащие наборы условий для фильтрации сообщений электронной почты и выполняющие действия по защите от потери данных конфиденциального или секретного содержимого. Одно из действий, которые можно указать, — применение шифрования в качестве защиты с указанием одного из шаблонов или параметров защиты. При обнаружении конфиденциальных данных можно использовать подсказки политики, чтобы оповестить пользователей о необходимости применения защиты. Дополнительные сведения см. в статье Защита от потери данных в документации Exchange Online.

  • Шифрование сообщений , которое поддерживает отправку защищенного сообщения электронной почты и защищенных документов Office в виде вложений на любой адрес электронной почты на любом устройстве. Для учетных записей пользователей, не использующих Azure AD, веб-интерфейс поддерживает поставщиков удостоверений в социальных сетях или одноразовый пароль. Дополнительные сведения см. в статье "Настройка новых возможностей шифрования сообщений Microsoft 365" на основе Azure Information Protection из документации по Microsoft 365. Дополнительные сведения, связанные с этой конфигурацией, см. в статье "Шифрование сообщений Microsoft 365".

Если вы используете Exchange в локальной среде, вы можете использовать функции IRM со службой Azure Rights Management, развернув соединитель Microsoft Rights Management. Этот соединитель выступает в качестве ретранслятора между локальными серверами и службой Azure Rights Management.

Дополнительные сведения о параметрах электронной почты, которые можно использовать для защиты сообщений электронной почты, см. в разделе " Не пересылать" для сообщений электронной почты и параметр "Только шифрование" для сообщений электронной почты.

Если вы готовы настроить Exchange для защиты электронной почты, выполните следующие действия:

SharePoint в Microsoft 365 и SharePoint Server

При использовании SharePoint в Microsoft 365 или SharePoint Server вы можете защитить документы с помощью функции управления правами на доступ к данным SharePoint (IRM). Она позволяет администраторам защищать списки или библиотеки так, чтобы при извлечении пользователем документа скачанный файл был защищен, а просматривать и использовать его могли только авторизованные пользователи, согласно заданным политикам защиты информации. Например, файл может быть открыт только для чтения, или отключено копирование текста, или запрещено создание локальной копии, или запрещена печать файла.

Документы Word, PowerPoint, PDF и Excel поддерживают такой вид защиты IRM в SharePoint. По умолчанию защита ограничена пользователем, скачивающим документ. Эту настройку по умолчанию можно изменить с помощью параметра конфигурации с именем Разрешить защиту групп, который распространяет защиту на указанную вами группу. Например, можно указать группу с разрешением на редактирование документов в библиотеке, чтобы разрешить этой группе редактировать документы за пределами среды SharePoint, независимо от того, кто из пользователей скачал документ. Или же можно указать группу без разрешений в SharePoint, пользователям в которой необходимо получить доступ к документу за пределами SharePoint. Защита для списков и библиотек SharePoint всегда настраивается администратором и никогда — конечным пользователем. Разрешения задаются на уровне узла и по умолчанию их наследует любой список или библиотека на этом сайте. Если вы используете SharePoint в Microsoft 365, пользователи также могут настроить библиотеку Microsoft OneDrive для защиты IRM.

Для более детализированного управления можно настроить список или библиотеку на сайте для прекращения наследования разрешений от родительского узла. Затем можно настроить разрешения IRM на этом уровне (список или библиотека), а затем они называются "уникальными разрешениями". Однако разрешения всегда задаются на уровне контейнера; Нельзя задать разрешения для отдельных файлов.

Сначала необходимо включить службу IRM для SharePoint. Далее нужно указать разрешения IRM для библиотеки. Для SharePoint и OneDrive пользователи также могут указать разрешения IRM для своей библиотеки OneDrive. SharePoint не использует шаблоны политики прав, хотя параметры конфигурации SharePoint, которые можно выбрать, соответствуют некоторым параметрам, указываемым в шаблонах.

Если вы используете SharePoint Server, эту защиту IRM можно использовать, развернув соединитель Microsoft Rights Management. Этот соединитель выступает в качестве ретранслятора между локальными серверами и облачной службой Rights Management. Дополнительные сведения см. в статье Развертывание соединителя службы управления правами Microsoft.

Примечание

При использовании IRM SharePoint существуют некоторые ограничения.

  • Шаблоны по умолчанию или настраиваемые шаблоны защиты, которыми вы управляете на портале Azure, использовать нельзя.

  • Файлы с расширением PPDF для защищенных PDF-файлов не поддерживаются. Дополнительные сведения о просмотре защищенных PDF-документов см. в статье "Защищенные средства чтения PDF" для Microsoft Purview Information Protection.

  • Совместное редактирование, когда несколько пользователей одновременно редактируют документ, не поддерживается. Чтобы изменить документ в библиотеке, защищенной с помощью службы управления правами на доступ к данным, необходимо сначала извлечь и скачать такой документ, а затем отредактировать его в приложении Office. Следовательно только один пользователь может редактировать документ в один момент времени.

Для библиотек, не защищенных с помощью IRM, если вы применяете защиту только к файлу, который затем отправляете в SharePoint или OneDrive, следующие действия не работают с этим файлом: совместное редактирование, Office для Интернета, поиск, предварительный просмотр документов, эскиз, обнаружение электронных данных и защита от потери данных (DLP).

Важно!

IRM SharePoint можно использовать в сочетании с метками конфиденциальности, которые применяют защиту. При совместном использовании обоих компонентов поведение меняется для защищенных файлов. Дополнительные сведения см. в статье "Включение меток конфиденциальности для файлов Office в SharePoint и OneDrive".

При использовании защиты SharePoint IRM служба Azure Rights Management применяет ограничения на использование и шифрование данных для документов при их скачивании из SharePoint (не при первом создании документа в SharePoint или его отправке в библиотеку). Сведения о защите документов перед их загрузкой см. в статье "Шифрование данных" в OneDrive и SharePoint из документации по SharePoint.

Сведения о предстоящих изменениях см. в статье "Обновления для системы безопасности, администрирования и миграции SharePoint".

Если вы готовы настроить SharePoint для IRM, см. следующие разделы.

Дальнейшие шаги

Если у вас есть Microsoft 365, вам может быть интересно ознакомиться с решениями по защите файлов в Microsoft 365, что предоставляет рекомендуемые возможности для защиты файлов в Microsoft 365.

Сведения о том, как другие приложения и службы поддерживают службу Azure Rights Management из Azure Information Protection, см. в статье Как приложения поддерживают службу Azure Rights Management.

Если вы готовы начать развертывание, включающее настройку этих приложений и служб, ознакомьтесь с стратегией развертывания AIP для классификации, маркировки и защиты.