Поделиться через


Как приложения и службы Office поддерживают Azure Rights Management

Конечные пользователи Приложение Office и службы Office могут использовать службу Azure Rights Management из Azure Information Protection для защиты данных организации. Эти Приложение Office ликации : Word, Excel, PowerPoint и Outlook. Службы Office — Exchange и Microsoft SharePoint. Конфигурации Office, поддерживающие службу Azure Rights Management, часто используют термин управления правами на доступ к данным (IRM).

Приложение Office ликации: Word, Excel, PowerPoint, Outlook

Эти приложения поддерживают встроенную функцию Azure Rights Management и позволяют пользователям применять защиту к сохраненном документу или к сообщению электронной почты. Пользователи могут применять шаблоны для применения защиты. Кроме того, для Word, Excel и PowerPoint пользователи могут выбирать настраиваемые параметры для доступа, прав и ограничений на использование.

Например, пользователи могут настроить документ Word, чтобы доступ к нему можно было получить только пользователям в вашей организации. Кроме того, можно ли изменить электронную таблицу Excel или ограничить ее только для чтения или запретить печать. Для файлов с учетом времени срок действия можно настроить, когда файл больше не может бытьдоступ. Эту конфигурацию можно сделать непосредственно пользователями или применить шаблон защиты. Для Outlook пользователи также могут выбрать параметр "Не пересылать" , чтобы предотвратить утечку данных.

Если вы готовы настроить Приложение Office см. Приложение Office: конфигурация для клиентов.

Exchange Online и Exchange Server

При использовании Exchange Online или Exchange Server можно настроить параметры Azure Information Protection. Эта конфигурация позволяет Exchange предоставлять следующие решения для защиты:

  • Exchange ActiveSync IRM , чтобы мобильные устройства могли защищать и использовать защищенные сообщения электронной почты.

  • Поддержка защиты электронной почты для Outlook в Интернете, которая реализована аналогично клиенту Outlook. Эта конфигурация позволяет пользователям защищать сообщения электронной почты с помощью шаблонов или параметров защиты. Пользователи могут читать и использовать защищенные сообщения электронной почты, отправляемые им.

  • Правила защиты для клиентов Outlook, настроенных администратором для автоматического применения шаблонов защиты и параметров к сообщениям электронной почты для указанных получателей. Например, когда внутренние сообщения электронной почты отправляются в юридический отдел, они могут быть прочитаны только членами юридического отдела и не могут быть перенаправляются. Пользователи видят защиту, примененную к сообщению электронной почты перед отправкой сообщения, и по умолчанию они могут удалить эту защиту, если они решили, что это не обязательно. Перед отправкой сообщения электронной почты шифруются. Дополнительные сведения см. в статье "Правила защиты Outlook" и создание правила защиты Outlook в библиотеке Exchange.

  • Правила потока обработки почты, которые администратор настраивает для автоматического применения шаблонов защиты или параметров к сообщениям электронной почты. Эти правила основаны на таких свойствах, как отправитель, получатель, тема сообщения и содержимое. Эти правила похожи на правила защиты, но не позволяют пользователям удалять защиту, так как защита устанавливается службой Exchange, а не клиентом. Так как защита устанавливается службой, это не имеет значения, какое устройство или какая операционная система у пользователей. Дополнительные сведения см. в разделе "Правила потока обработки почты" (правила транспорта) в Exchange Online и создание правила защиты транспорта для локальной среды Exchange.

  • Политики защиты от потери данных (DLP), содержащие наборы условий для фильтрации сообщений электронной почты и принятия действий, чтобы предотвратить потерю данных для конфиденциального или конфиденциального содержимого. Одним из действий, которые можно указать, является применение шифрования в качестве защиты, указав один из шаблонов или параметров защиты. Политику Советы можно использовать при обнаружении конфиденциальных данных для оповещения пользователей о необходимости применения защиты. Дополнительные сведения см. в разделе "Защита от потери данных" в документации по Exchange Online.

  • Шифрование сообщений, которое поддерживает отправку защищенного сообщения электронной почты и защищенных документов Office в виде вложений на любой адрес электронной почты на любом устройстве. Для учетных записей пользователей, не использующих идентификатор Microsoft Entra, веб-интерфейс поддерживает поставщиков удостоверений социальных сетей или одноразовый секретный код. Дополнительные сведения см. в статье "Настройка новых возможностей шифрования сообщений Microsoft 365", созданных на основе Azure Information Protection из документации по Microsoft 365. Дополнительные сведения, связанные с этой конфигурацией, см. в разделе "Шифрование сообщений Microsoft 365".

Если вы используете Локальную среду Exchange, вы можете использовать функции IRM со службой Azure Rights Management, развернув соединитель Microsoft Rights Management. Этот соединитель выступает в качестве ретранслятора между локальными серверами и службой Azure Rights Management.

Дополнительные сведения о параметрах электронной почты, которые можно использовать для защиты сообщений электронной почты, см. в разделе "Не пересылать сообщения электронной почты" и параметр "Только шифрование" для сообщений электронной почты.

Если вы готовы настроить Exchange для защиты сообщений электронной почты:

SharePoint в Microsoft 365 и SharePoint Server

При использовании SharePoint в Microsoft 365 или SharePoint Server вы можете защитить документы с помощью функции управления правами на доступ к данным SharePoint (IRM). Эта функция позволяет администраторам защищать списки или библиотеки, чтобы, когда пользователь проверка выход из документа, скачанный файл защищен таким образом, чтобы только авторизованные пользователи могли просматривать и использовать файл в соответствии с указанными политиками защиты информации. Например, файл может быть только для чтения, отключить копирование текста, запретить сохранение локальной копии и запретить печать файла.

Документы Word, PowerPoint, Excel и PDF поддерживают эту защиту IRM SharePoint. По умолчанию защита ограничена пользователем, скачивающим документ. Этот параметр по умолчанию можно изменить с параметром конфигурации с именем Allow group protection, который расширяет защиту указанной группы. Например, можно указать группу, которая имеет разрешение на редактирование документов в библиотеке, чтобы та же группа пользователей могла редактировать документ за пределами SharePoint независимо от того, какой пользователь скачал документ. Кроме того, можно указать группу, которая не предоставляет разрешения в SharePoint, но пользователям в этой группе требуется доступ к документу за пределами SharePoint. Для списков и библиотек SharePoint эта защита всегда настраивается администратором, никогда не конечным пользователем. Вы устанавливаете разрешения на уровне сайта, и эти разрешения по умолчанию наследуются любым списком или библиотекой на этом сайте. Если вы используете SharePoint в Microsoft 365, пользователи также могут настроить свою библиотеку Microsoft OneDrive для защиты IRM.

Для более точного управления можно настроить список или библиотеку на сайте, чтобы остановить наследование разрешений от родительского элемента управления. Затем можно настроить разрешения IRM на этом уровне (список или библиотека), а затем они называются уникальными разрешениями. Однако разрешения всегда задаются на уровне контейнера; Нельзя задать разрешения для отдельных файлов.

Сначала необходимо включить службу IRM для SharePoint. Затем необходимо указать разрешения IRM для библиотеки. Для SharePoint и OneDrive пользователи также могут указать разрешения IRM для своей библиотеки OneDrive. SharePoint не использует шаблоны политик прав, хотя существуют параметры конфигурации SharePoint, которые можно выбрать, соответствующие некоторым параметрам, которые можно указать в шаблонах.

При использовании SharePoint Server можно использовать эту защиту IRM, развернув соединитель Microsoft Rights Management. Этот соединитель выступает в качестве ретранслятора между локальными серверами и облачной службой Rights Management. Дополнительные сведения см. в разделе "Развертывание соединителя Microsoft Rights Management".

Примечание.

При использовании IRM SharePoint существуют некоторые ограничения.

  • Вы не можете использовать шаблоны по умолчанию или настраиваемые шаблоны защиты, управляемые в портал Azure.

  • Файлы с расширением PPDF-файла для защищенных PDF-файлов не поддерживаются. Дополнительные сведения о просмотре защищенных PDF-документов см. в разделе "Защищенные средства чтения PDF" для Защита информации Microsoft Purview.

  • Совместная работа, если несколько пользователей одновременно редактируют документ, не поддерживаются. Чтобы изменить документ в библиотеке с защитой IRM, необходимо сначала проверка документ и скачать его, а затем изменить его в Приложение Office ликации. Следовательно, только один человек может изменять документ одновременно.

Для библиотек, которые не защищены IRM, при применении защиты только к файлу, который затем отправляется в SharePoint или OneDrive, следующие элементы не работают с этим файлом: совместное редактирование, Office для Интернета, поиск, предварительный просмотр документов, эскиз, обнаружение электронных данных и защита от потери данных (DLP).

Внимание

IRM SharePoint можно использовать в сочетании с метками конфиденциальности, которые применяют защиту. При совместном использовании обоих функций поведение изменяется для защищенных файлов. Дополнительные сведения см. в разделе "Включение меток конфиденциальности для файлов Office" в SharePoint и OneDrive.

При использовании защиты IRM SharePoint служба Azure Rights Management применяет ограничения использования и шифрование данных для документов при скачивании из SharePoint, а не при первом создании документа в SharePoint или отправке в библиотеку. Сведения о защите документов перед их загрузкой см. в статье "Шифрование данных" в OneDrive и SharePoint из документации по SharePoint .

Сведения о предстоящих изменениях см. в Обновления безопасности, администрирования и миграции SharePoint.

Если вы готовы настроить SharePoint для IRM:

Следующие шаги

Если у вас есть Microsoft 365, вы можете ознакомиться с решениями по защите файлов в Microsoft 365, которые предоставляют рекомендуемые возможности для защиты файлов в Microsoft 365.

Сведения о том, как другие приложения и службы поддерживают службу Azure Rights Management из Azure Information Protection, см. в статье о поддержке приложений службы Azure Rights Management.

Если вы готовы начать развертывание, включающее настройку этих приложений и служб, см . стратегию развертывания AIP для классификации, маркировки и защиты.