Поделиться через


Часто задаваемые вопросы о защите данных в Azure Information Protection

Есть вопрос о службе защиты данных Azure Rights Management, используемой в Azure Information Protection? Проверьте, был ли здесь дан на него ответ.

Должны ли файлы, защищаемые при помощи Azure Rights Management, обязательно находиться в облаке?

Нет, это распространенное заблуждение. Служба Azure Rights Management (и корпорация Майкрософт) не считывает и не сохраняет ваши данные в рамках процесса защиты информации. Сведения, которые вы защищаете, никогда не отправляются и не сохраняются в Azure, если только вы явным образом не сохраняете их в Azure или не используйте другую облачную службу, которая сохраняет их в Azure.

Дополнительные сведения см. в статье о работе Azure RMS? Под капотом , чтобы понять, как создается и хранится формула секретной колы, которая создается и хранится локально, защищается службой Azure Rights Management, но остается локальной.

Какова разница между шифрованием и шифрованием Azure Rights Management в других облачных службах Майкрософт?

Корпорация Майкрософт предоставляет множество технологий шифрования, которые позволяют защитить ваши данные в рамках разных и зачастую второстепенных случаев использования. Например, в то время как Microsoft 365 предлагает шифрование неактивных данных для данных, хранящихся в Microsoft 365, служба Azure Rights Management из Azure Information Protection независимо шифрует ваши данные таким образом, чтобы он был защищен независимо от того, где он расположен или как он передается.

Эти технологии шифрования являются вспомогательными, и их необходимо включить и настроить по отдельности. При этом у вас может быть возможность принести собственный ключ для шифрования, сценарий, также известный как BYOK. Включение BYOK для одной из этих технологий не влияет на другие. Например, вы можете использовать BYOK для Azure Information Protection и не использовать BYOK в рамках других технологий шифрования и наоборот. Ключи, используемые в этих разных технологиях, могут совпадать или отличаться, в зависимости от способа настройки параметров шифрования для каждой из служб.

Можно ли теперь использовать BYOK с Exchange Online?

Да, теперь вы можете использовать BYOK с Exchange Online при выполнении инструкций по настройке новых возможностей шифрования сообщений Microsoft 365, созданных на основе Azure Information Protection. Они позволяют включить в Exchange Online новые возможности, поддерживающие использование BYOK для Azure Information Protection, а также новую функцию шифрования сообщений Office 365.

Дополнительные сведения об этом изменении см. в объявлении блога о шифровании сообщений Office 365 с новыми возможностями

Существует ли пакет управления или похожий механизм мониторинга для соединителя RMS?

Хотя соединитель Rights Management регистрирует сведения, предупреждения и сообщения об ошибках в журнал событий, нет пакета управления, включающего мониторинг этих событий. Однако список событий и их описания с дополнительными сведениями, которые помогут вам выполнить корректирующие действия, документируются в соединителе Microsoft Rights Management.

Как создать настраиваемый шаблон на портале Azure?

Настраиваемые шаблоны были перемещены на портал Azure, где можно продолжать управлять ими как шаблонами или преобразовывать их в метки. Чтобы создать шаблон, создайте метку и настройте параметры защиты данных для Azure RMS. На самом деле создается шаблон, к которому затем могут обращаться службы и приложения, интегрируемые с шаблонами Rights Management.

Дополнительные сведения о шаблонах на портале Azure см. в статье Настройка шаблонов и управление ими в Azure Information Protection.

Документ защищен, и теперь я хочу изменить права использования или добавить пользователей. Нужно ли мне повторно защищать документ?

Если документ был защищен с помощью метки или шаблона, его не нужно повторно защищать. Измените метку или шаблон, внесите изменения в права использования или добавьте новые группы (или пользователи), а затем сохраните следующие изменения:

  • Если пользователь не открывал документ до того, как вы внесли изменения, они вступят в силу при открытии.

  • Если пользователь уже открывал документ, изменения вступят в силу по истечении срока действия лицензии на использование. Повторно защищать документ нужно, только если вы не можете дождаться истечения срока действия лицензии на использование. Повторная защита фактически создает новую версию документа и, следовательно, новую лицензию для пользователя.

Кроме того, если вы уже настроили группу для требуемых разрешений, вы можете изменить членство в группе, включив или исключив пользователей. Для этого не нужно менять метку или шаблон. Перед вступлением изменений в силу может возникнуть небольшая задержка, так как служба Azure Rights Management кэширует членство в группе.

Если документ был защищен с помощью пользовательских разрешений, невозможно изменить разрешения для существующего документа. Необходимо повторно защитить документ и указать всех пользователей и все права на использование, необходимые для этой новой версии документа. Для повторной защиты защищенного документа требуется право на использование с полным доступом.

Совет. Чтобы проверить, был ли документ защищен шаблоном или с помощью пользовательского разрешения, используйте командлет Get-AIPFileStatus PowerShell. Если это настраиваемое разрешение, вы обязательно увидите описание шаблона ограниченного доступа с уникальным идентификатором шаблона, который не отображается при запуске Get-RMSTemplate.

У меня есть гибридное развертывание Exchange, где некоторые пользователи находятся в Exchange Online, а другие пользователи на сервере Exchange Server, — это поддерживается Azure RMS?

Абсолютно, и приятно, что пользователи могут легко защитить и использовать защищенные сообщения электронной почты и вложения в двух развертываниях Exchange. Для этой конфигурации следует активировать Azure RMS и включить управление правами на доступ к данным для Exchange Online, а затем провести развертывание и настройку соединителя RMS для Exchange Server.

Если я настрою такую защиту для своей рабочей среды, будет ли моя компания затем привязана к этому решению и рискует ли она потерять доступ к содержимому, которое защищено при помощи Azure RMS?

Нет, вы всегда сохраняете контроль над данными и сможете продолжать пользоваться ими, даже если решили больше не использовать службу Azure Rights Management. Дополнительные сведения см. в статье Деактивация защиты для Azure Information Protection и вывод службы из эксплуатации.

Могу ли я указывать пользователей, которым разрешено защищать содержимое с помощью Azure RMS?

Да, в службе Azure Rights Management можно контролировать ее доступность для пользователей. Дополнительные сведения см. в разделе "Настройка элементов управления подключением" для поэтапного развертывания в статье "Активация службы защиты из Azure Information Protection ".

Могу ли я запретить пользователям предоставлять общий доступ к защищенным документам конкретных организаций?

Одним из самых больших преимуществ использования службы Azure Rights Management для защиты данных является то, что она поддерживает совместную работу между предприятиями без необходимости настраивать явные отношения доверия для каждой партнерской организации, так как идентификатор Microsoft Entra отвечает за проверку подлинности.

Администратор не может запретить пользователям безопасно предоставлять доступ к документам конкретных организаций. Например, вы хотите заблокировать организацию, которую вы не доверяете или имеет конкурирующий бизнес. Запретить службе Azure Rights Management отправлять защищенные документы пользователям в этих организациях не будет смысла, так как ваши пользователи затем будут делиться своими документами без защиты, что, вероятно, является последней вещью, которую вы хотите выполнить в этом сценарии. Например, вы не сможете определить, кто предоставляет доступ к конфиденциальным корпоративным документам, с которыми пользователи в этих организациях могут работать, когда документ (или электронная почта) защищен службой Azure Rights Management.

Если предоставить доступ к защищенному документу кому-либо за пределами компании, как для этого пользователя выполняется проверка подлинности?

По умолчанию служба Azure Rights Management использует учетную запись Microsoft Entra и связанный адрес электронной почты для проверки подлинности пользователей, что упрощает совместную работу между предприятиями для администраторов. Если другая организация использует службы Azure, пользователи уже имеют учетные записи в идентификаторе Microsoft Entra, даже если эти учетные записи создаются и управляются локально, а затем синхронизируются с Azure. Если в организации есть Microsoft 365, в этой службе также используется идентификатор Microsoft Entra для учетных записей пользователей. Если у организации пользователя нет управляемых учетных записей в Azure, пользователи могут зарегистрироваться для RMS для частных лиц, что создает неуправляемый клиент Azure и каталог для организации с учетной записью пользователя, чтобы этот пользователь (и последующие пользователи) можно было пройти проверку подлинности для службы Azure Rights Management.

Метод проверки подлинности для этих учетных записей может отличаться в зависимости от того, как администратор в другой организации настроил учетные записи Microsoft Entra. Например, они могут использовать пароли, созданные для этих учетных записей, федерации или паролей, созданных в службах домен Active Directory, а затем синхронизированы с идентификатором Microsoft Entra.

Другие методы проверки подлинности:

  • Если вы защищаете сообщение электронной почты с вложением документа Office пользователю, у которого нет учетной записи в идентификаторе Microsoft Entra, метод проверки подлинности изменяется. Служба Azure Rights Management входит в федерацию с некоторыми популярными поставщиками удостоверений в социальных сетях, например Gmail. Если поставщик услуг электронной почты пользователя поддерживается, пользователь может войти в эту службу, переложив функции проверки подлинности на поставщика. Если поставщик пользователя не поддерживается или имеются другие предпочтения, пользователь может запросить одноразовый секретный код, позволяющий пройти проверку подлинности и отобразить сообщение электронной почты с защищенным документом в веб-браузере.

  • Azure Information Protection может использовать учетные записи Майкрософт для поддерживаемых приложений. В настоящее время не все приложения могут открывать защищенное содержимое при использовании учетной записи Майкрософт для проверки подлинности. Дополнительные сведения

Можно ли добавить внешних пользователей (людей извне моей организации) в пользовательские шаблоны?

Да. На портале Azure можно настроить параметры защиты, чтобы добавлять разрешения для пользователей и групп за пределами вашей организации и даже для всех пользователей в другой организации. Вы можете найти полезное, чтобы ссылаться на пошаговый пример безопасной совместной работы с документами с помощью Azure Information Protection.

Обратите внимание, что при наличии меток Azure Information Protection необходимо сначала преобразовать пользовательский шаблон в метку и только затем настраивать эти параметры защиты на портале Azure. Дополнительные сведения см. в статье Настройка шаблонов и управление ими в Azure Information Protection.

С помощью PowerShell можно добавить внешних пользователей в пользовательские шаблоны (и метки). Для этой конфигурации необходимо использовать объект определения прав, который применяется для обновления шаблона:

  1. Укажите внешние адреса электронной почты и их права в объекте определения прав с помощью командлета New-AipServiceRightsDefinition для создания переменной.

  2. Укажите эту переменную параметру RightsDefinition с помощью командлета Set-AipServiceTemplateProperty .

    При добавлении пользователей в существующий шаблон необходимо определить объекты определения прав для существующих пользователей в шаблонах в дополнение к новым пользователям. В этом сценарии может оказаться полезным шаг Пример 3. Добавление новых пользователей и прав в пользовательский шаблон из раздела Примеры для командлета.

Какой тип групп можно использовать в Azure RMS?

В большинстве случаев можно использовать любой тип группы в идентификаторе Microsoft Entra, который имеет адрес электронной почты. Это общее правило всегда применяется при назначении прав на использование, но существуют некоторые исключения для администрирования службы Azure Rights Management. Дополнительные сведения см. в разделе Требования Azure Information Protection к учетным записям групп.

Как отправлять защищенные сообщения электронной почты в учетную запись Gmail или Hotmail?

При использовании Exchange Online и службы Azure Rights Management вы просто отправляете пользователям сообщение электронной почты в качестве защищенного сообщения. Например, можно нажать новую кнопку Защитить на панели команд в Outlook в Интернете, использовать кнопку или пункт меню Outlook Не пересылать. Или можно выбрать метку Azure Information Protection, которая автоматически применяет параметр "Не пересылать" и классифицирует сообщение электронной почты.

Получатель видит возможность входа в свою учетную запись Gmail, Yahoo или Майкрософт, а затем может прочитать защищенное сообщение электронной почты. Кроме того, администраторы могут настроить выдачу одноразового пароля для чтения электронной почты в браузере.

Для поддержки этого сценария нужно включить Exchange Online для службы Azure Rights Management и новых возможностей шифрования сообщений Office 365. Дополнительные сведения об этой конфигурации см. в разделе Exchange Online: настройка службы управления правами на доступ к данным.

Дополнительные сведения о новых возможностях, поддерживающих все учетные записи электронной почты на всех устройствах, см. в следующей записи блога, где объявляются новые возможности, доступные для шифрования сообщений Office 365.

Какие устройства и типы файлов поддерживаются Azure RMS?

Служба Azure Rights Management поддерживает все типы файлов. Для текстовых файлов, изображений, файлов Microsoft Office (Word, Excel, PowerPoint), PDF-файлов и некоторых других типов файлов Azure Rights Management обеспечивает собственную защиту, включающую шифрование и применение прав доступа (разрешений). Для других типов приложений и файлов универсальная защита обеспечивает инкапсуляцию файлов и проверку подлинности, чтобы проверить, авторизован ли пользователь для открытия файла.

Список расширений имен файлов, которые поддерживает служба Azure Rights Management, см. в статье Руководство администратора. Типы файлов, поддерживаемые клиентом Azure Information Protection. Не указанные в списке расширения имен файлов поддерживаются с помощью клиента Azure Information Protection, который автоматически применяет универсальную защиту к этим файлам.

Когда я открываю документ Office, защищенный с помощью RMS, распространяется ли эта защита и на соответствующий временный файл?

№ В этом сценарии связанный временный файл не содержит данные из исходного документа, а только то, что пользователь вводит во время открытия файла. В отличие от исходного файла временный файл не предназначен для совместного использования и остается на устройстве, где он находится под защитой средств локальной безопасности, таких как BitLocker и EFS.

Функция, которую я ищу, не работает с защищенными библиотеками SharePoint, поддерживает ли моя функция?

В настоящее время Microsoft SharePoint поддерживает защищенные RMS документы с помощью защищенных IRM библиотек, которые не поддерживают шаблоны Rights Management, отслеживание документов и некоторые другие возможности. Дополнительные сведения см. в разделе SharePoint в Microsoft 365 и SharePoint Server в статье Приложение Office ликации и служб.

Если вы заинтересованы в конкретной возможности, которая еще не поддерживается, следите за объявлениями в блоге Enterprise Mobility and Security.

Разделы справки настроить one Drive в SharePoint, чтобы пользователи могли безопасно обмениваться своими файлами с людьми внутри компании и за ее пределами?

По умолчанию в качестве администратора Microsoft 365 вы не настраиваете это; пользователи делают это.

Так же, как администратор сайта SharePoint включает и настраивает IRM для библиотеки SharePoint, которую они владеет, OneDrive предназначен для пользователей, чтобы включить и настроить IRM для собственной библиотеки OneDrive. Однако с помощью PowerShell вы сможете сделать это для них. Инструкции см. в статье SharePoint в Microsoft 365 и OneDrive: конфигурация IRM.

Есть ли у вас какие-либо советы и рекомендации по успешному развертыванию?

После наблюдения за многими развертываниями, а также общения с клиентами, партнерами, консультантами и инженерами поддержки можно дать один важный совет: Создавайте и развертывайте простые политики.

Так как Azure Information Protection поддерживает защищенную передачу файлов любым пользователям, вы можете защитить большое количество файлов. Но при настройке ограничений для прав на использование нужно соблюдать осторожность. Во многих организациях для бизнеса больше всего важна защита от утечки данных, достигаемая путем предоставления доступа лишь сотрудникам организации. Конечно, вы можете получить гораздо более детализированный, чем это, если вам нужно - запретить людям печатать, редактировать и т. д. Но сохраняйте более детализированные ограничения в качестве исключения для документов, которые действительно нуждаются в высокоуровневой безопасности, и не реализуйте эти более строгие права на использование в один день, но планируете более поэтапного подхода.

Как восстановить доступ к файлам, которые были защищены, если сотрудник уволился из организации?

Используйте функцию суперпользователя, которая предоставляет авторизованным пользователям полные права на использование для всех документов и сообщений, защищаемых вашим клиентом. Суперпользователей всегда может читать защищенное содержимое, а при необходимости удалить защиту или повторно защитить ее для разных пользователей. Эта же функция позволяет авторизованным службам индексировать и проверять файлы при необходимости.

Если содержимое хранится в SharePoint или OneDrive, администраторы могут запустить командлет Unlock-SensitivityLabelEncryptedFile , чтобы удалить метку конфиденциальности и шифрование. Дополнительные сведения см. в документации по Microsoft 365.

Может ли Rights Management блокировать создание снимков экрана?

Не предоставляя право на использование копирования, Rights Management может запретить захват экрана многим из часто используемых средств захвата экрана на платформах Windows (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile и Windows 11). Однако устройства iOS, Mac и Android не позволяют приложению предотвращать захват экрана. Кроме того, браузеры на любом устройстве не могут предотвратить захват экрана. Использование браузера включает Outlook в Интернете и Office для Интернета.

Примечание.

Теперь развертывание в Current Channel (предварительная версия): в Office для Mac, Word, Excel и PowerPoint (но не Outlook) теперь поддерживают использование Rights Management, чтобы предотвратить захват экрана.

Предотвращение создания снимков экрана может помочь избежать случайного или неумышленного разглашения конфиденциальной информации. Но существует множество способов, которым пользователь может предоставить общий доступ к данным, отображаемым на экране, и снимок экрана — только один метод. Например, пользователь, который хочет поделиться отображаемой на экране информацией, может просто сфотографировать ее камерой мобильного телефона, переписать ее или просто устно сообщить ее кому-то другому.

Как показывают эти примеры, даже если бы все платформы и все программное обеспечение поддерживали API-интерфейсы Rights Management для блокирования снимков экрана, технология сама по себе не всегда может запретить разглашение данных, которые должны храниться в секрете. Служба Rights Management может помочь защитить важные данные путем авторизации и политик использования, но это решение по управлению правами должно использоваться совместно с другими мерами. Например, реализуйте физическую безопасность, тщательно следите за поведением людей, которым предоставлен доступ к данным организации, и вкладывайте средства в образование пользователей, чтобы они поняли, какими данными делиться нельзя.

Чем отличается защита сообщения электронной почты с помощью параметра "Не пересылать" от защиты с помощью шаблона без права пересылки?

Несмотря на свое имя и внешний вид, параметр Не пересылать не является ни шаблоном, ни противоположностью права пересылки. На самом деле это набор прав, которые включают ограничение копирования, печати и сохранения электронной почты за пределами почтового ящика, а также ограничения пересылки сообщений электронной почты. Права динамически применяются к пользователям с помощью функции выбора получателей. Они не назначаются администратором статически. Дополнительные сведения см. в разделе " Не пересылать сообщения электронной почты " в разделе "Настройка прав на использование для Azure Information Protection".

Какова разница между FCI Windows Server и сканером Azure Information Protection?

Инфраструктура классификации файлов Windows Server исторически была возможностью классифицировать документы, а затем защищать их с помощью соединителя Rights Management (только для документов Office) или скрипта PowerShell (все типы файлов).

Теперь мы рекомендуем использовать сканер Azure Information Protection. Сканер использует клиент Azure Information Protection и политику Azure Information Protection для маркировки документов (всех типов файлов), чтобы затем эти документы были классифицированы и при необходимости защищены.

Основные различия между этими двумя решениями:

Windows Server FCI Сканер Azure Information Protection
Поддерживаемые хранилища данных Локальные папки в Windows Server — общие папки Windows и хранилище, подключенное к сети

— SharePoint Server 2016 и SharePoint Server 2013. SharePoint Server 2010 также поддерживается для клиентов с расширенной поддержкой этой версии SharePoint.
Рабочий режим Реальное время Систематический обход хранилищ данных один или несколько раз
Поддерживаемые типы файлов — Все типы файлов защищены по умолчанию

— Определенные типы файлов можно исключить из защиты, изменив реестр.
Поддержка типов файлов:

— Типы файлов Office и PDF-документы защищены по умолчанию

— Дополнительные типы файлов можно включить для защиты, изменив реестр.