Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования

  • Статья

Руководство по лицензированию Microsoft 365 для обеспечения соответствия требованиям безопасности&.

При создании метки конфиденциальности можно ограничить доступ к содержимому, к которому будет применена метка. Например, используя параметры шифрования для метки конфиденциальности, можно защитить содержимое таким образом, чтобы:

  • только пользователи организации могли открывать конфиденциальные документы или сообщения электронной почты;
  • только пользователи в отделе маркетинга могли редактировать и выводить на печать документы рекламных объявлений или сообщения электронной почты, а всем остальным пользователям вашей организации они были доступны только для чтения;
  • Пользователи не могли пересылать сообщения электронной почты или копировать данные из них, если в них содержатся новости о внутренней реорганизации;
  • действующий прейскурант, отправляемый бизнес-партнерам, нельзя было открыть после определенной даты.
  • Только те, кто отправил приглашение на собрание, чтобы запустить конфиденциальный проект, могут открыть приглашение на собрание, и они не могут переслать его другим пользователям.

Если документ, сообщение электронной почты или приглашение на собрание шифруется, доступ к содержимому ограничен, поэтому:

  • его могли расшифровать только пользователи, которым были предоставлены соответствующие права доступа с помощью параметров шифрования метки;
  • оно оставалось зашифрованным независимо от того, где находится, в вашей организации или за ее пределами, даже если файл будет переименован;
  • оно оставалось зашифрованным во время хранения (например, в учетной записи OneDrive) и при передаче (например, когда почта передается по Интернету).

Наконец, являясь администратором, при настройке метки конфиденциальности для применения шифрования вы можете по своему усмотрению выбрать одно из действий ниже.

  • Назначить разрешения, чтобы указать конкретных пользователей и разрешения, которые они получат на содержимое с такой меткой.
  • Разрешить пользователям назначать разрешения при применении метки к содержимому. Таким образом, вы обеспечите пользователям вашей организации определенную гибкость, которая может быть необходима для совместной работы и выполнения рабочих задач.

Параметры шифрования доступны при создании метки конфиденциальности на портале соответствия требованиям Microsoft Purview.

Примечание.

Метка конфиденциальности в Outlook может применять защиту S/MIME, а не шифрование и разрешения из службы Azure Rights Management. Дополнительные сведения см. в разделе Настройка метки для применения защиты S/MIME в Outlook.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Портал соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Как осуществляется шифрование

Если вы не используете S/MIME для Outlook, шифрование, которое применяется метками конфиденциальности к документам, сообщениям электронной почты и приглашениям на собрание, использует службу Azure Rights Management (Azure RMS) из Azure Information Protection. Это решение защиты использует политики шифрования, удостоверений и авторизации. Дополнительные сведения см. в статье Управление правами Azure из документации по Azure Information Protection.

При использовании этого решения шифрования функция суперпользователей гарантирует, что авторизованные пользователи и службы всегда смогут считывать и проверять данные, зашифрованные для вашей организации. При необходимости шифрование затем можно удалить или изменить. Дополнительные сведения см. в статье Настройка суперпользователей для Azure Information Protection и служб обнаружения или восстановления данных.

Важно!

Вы также можете использовать метки конфиденциальности для шифрования аудио- и видеопотоков для собраний Teams, но при этом используется другой метод шифрования, а не служба Azure Rights Management, которая используется для сообщений электронной почты, приглашений на собрания и документов. Дополнительные сведения о шифровании, используемом для собраний Teams, см. в разделе Шифрование мультимедиа из руководства по безопасности Teams.

Важные предварительные условия

Прежде чем вы сможете использовать шифрование, вам может понадобиться выполнить некоторые задачи настройки. При настройке параметров шифрования не выполняется проверка соответствия этим предварительным условиям.

  • Активация защиты из Azure Information Protection

    Чтобы метки конфиденциальности применяли шифрование, в вашем клиенте должна быть активирована служба защиты (Azure Rights Management) из Azure Information Protection. В новых клиентах этот параметр используется по умолчанию, но вам может потребоваться активировать службу вручную. Дополнительные сведения см. в статье Активация службы защиты из Azure Information Protection.

  • Проверка требований к сети

    Возможно, потребуется внести некоторые изменения на сетевых устройствах, таких как брандмауэры. Подробные сведения см. в разделе Брандмауэры и сетевая инфраструктура документации по Azure Information Protection.

  • Проверка конфигурации Azure AD

    Существуют некоторые конфигурации Azure Active Directory (Azure AD), которые могут запретить авторизованный доступ к зашифрованным содержимому. Например, параметры доступа между клиентами и политики условного доступа. Дополнительные сведения см. в разделе настройка Azure AD для зашифрованного содержимого.

  • Настройка Exchange для Microsoft Azure Information Protection

    Exchange не нужно настраивать для azure Information Protection, прежде чем пользователи смогут применять метки в Outlook для шифрования электронной почты. Тем не менее, пока Exchange не настроен для Azure Information Protection, вы не получите полную функциональность использования защиты Azure Rights Management с Exchange.

    Например, пользователи не могут просматривать зашифрованные сообщения электронной почты или зашифрованные приглашения на собрания на мобильных телефонах или с помощью Outlook в Интернете, зашифрованные сообщения электронной почты не могут быть проиндексированы для поиска, и вы не можете настроить Exchange Online защиты от потери данных для защиты Rights Management.

    Чтобы служба Exchange могла поддерживать такие дополнительные сценарии, выполните следующие действия.

Настройка метки для шифрования

  1. Следуйте общим инструкциям, чтобы создать или изменить метку конфиденциальностии убедитесь, что элемент выбран для область метки:

    Метка конфиденциальности область параметр Элементы для шифрования.

  2. Затем на странице Выбор параметров защиты для помеченных элементов выберите Применить или удалить шифрование.

    Параметры защиты меток конфиденциальности для элементов.

  3. На странице Шифрование выберите один из указанных ниже вариантов.

    • Удаление шифрования, если файл или сообщение электронной почты зашифрованы. При выборе этого параметра применение метки приведет к удалению существующего шифрования, даже если оно было применено независимо от метки конфиденциальности.

      Важно понимать, что этот параметр может привести к метке конфиденциальности, которую пользователи не смогут применить, если у них недостаточно разрешений для удаления существующего шифрования. Дополнительные сведения об этом сценарии см. в разделе Что происходит с существующим шифрованием при применении метки.

    • Настройка параметров шифрования. Включает шифрование и отображает его параметры.

      Параметры меток конфиденциальности для шифрования.

      Инструкции по настройке этих параметров см. в разделе Настройка параметров шифрования ниже.

Изменение меток для нового применения шифрования или изменение существующих параметров шифрования

Обычной стратегией развертывания является первоначальная настройка меток конфиденциальности без шифрования, а затем изменение некоторых из существующих меток для применения шифрования. Метки, которые вы редактируете, будут применять это шифрование для новых помеченных элементов. Элементы, которые уже помечены, остаются незашифрованными, если вы не удалите метку и не примените ее повторно.

Для элементов, которые уже помечены шифрованием с помощью параметра "Назначить разрешения сейчас" и вы изменяете пользователей или разрешения, новые параметры также будут применяться к существующим элементам при проверке подлинности пользователей в службе шифрования. В большинстве случаев нет необходимости удалять и повторно использовать метку. Однако если пользователи уже открыли зашифрованный документ или сообщение электронной почты, они не получат новые параметры, пока не истечет срок действия лицензии на использование и они не должны пройти повторную проверку подлинности. Дополнительные сведения об этом сценарии см. в соответствующем часто задаваемых вопросе о том, как работает шифрование.

При каждом изменении параметров шифрования, разрешающих пользователям назначать разрешения, это изменение применяется только к новым помеченным или повторно помеченным элементам. Например:

  • Вы измените метку с назначения разрешений сейчас, чтобы разрешить пользователям назначать разрешения, или наоборот
  • Вы измените метку с Не пересылать на Encrypt-Only или наоборот.

Что происходит с существующим шифрованием при применении метки

Если к незашифрованному содержимому применяется метка конфиденциальности, результат доступных параметров шифрования можно понять без объяснений. Например, если не выбрано Шифрование файлов и сообщений электронной почты, содержимое не будет зашифровано.

Но содержимое может быть уже зашифрованным. Например, другой пользователь мог применить:

  • Собственные разрешения, включающие определяемые пользователем разрешения при запросе меткой, настраиваемые разрешения клиента Azure Information Protection и защиту документа Ограниченный доступ из приложения Office.
  • Шаблон защиты службы управления правами Azure, шифрующий содержимое независимо от метки. В эту категорию входят правила потока обработки почты, применяющие шифрование с помощью защиты прав.
  • Метку, применяющую шифрование с разрешениями, назначенными администратором.

В следующей таблице указано, что происходит с существующим шифрованием при применении к содержимому метки конфиденциальности.

Шифрование: не выбрано Шифрование: настроено Шифрование: удаление
Разрешения, указанные пользователем Исходное шифрование сохраняется Применяется новое шифрование Исходное шифрование удаляется
Шаблон защиты Исходное шифрование сохраняется Применяется новое шифрование Исходное шифрование удаляется
Метка с разрешениями, определенными администратором Исходное шифрование удаляется Применяется новое шифрование Исходное шифрование удаляется

В случаях применения нового шифрования с меткой или удаления исходного шифрования эти действия выполняются, только если у пользователя, применяющего метку, есть соответствующее право на использование или роль:

Если у пользователя нет одного из этих прав или ролей, метка не может быть применена и поэтому сохраняется исходное шифрование. Для пользователя отображается следующее сообщение: У вас нет разрешения на внесение изменений в метку конфиденциальности. Обратитесь к владельцу содержимого.

Например, пользователь, применяющий параметр "Не пересылать" к сообщению электронной почты, может изменить метку цепочки, чтобы заменить шифрование или удалить его, поскольку является владельцем в службе управления правами для электронной почты. Но получатели этого сообщения, за исключением суперпользователей, не смогут изменять его метку, так как у них нет необходимых прав на использование.

Email вложения для зашифрованных сообщений электронной почты и приглашений на собрания

Когда сообщение электронной почты или приглашение на собрание шифруется любым способом, все незашифрованные документы Office, присоединенные к сообщению электронной почты или приглашению, автоматически наследуют те же параметры шифрования.

Предварительно зашифрованные документы, добавленные в качестве вложений, всегда сохраняют исходное шифрование.

Настройка параметров шифрования

Если вы выбрали команду Настроить параметры шифрования на странице Шифрование, чтобы создать или изменить метку конфиденциальности, выберите один из указанных ниже вариантов.

  • Назначить разрешения сразу, чтобы указать конкретных пользователей и разрешения, которые они получат на содержимое с примененной меткой. Дополнительные сведения см. в следующем разделе Назначение разрешений.
  • Разрешить пользователям назначать разрешения, когда они применяют метку к содержимому. С помощью этого параметра вы обеспечите пользователям вашей организации определенную гибкость, которая может быть необходима для совместной работы и выполнения рабочих задач. Дополнительные сведения см. в разделе Предоставление пользователям возможности назначать разрешения на этой странице.

Например, если у вас метка конфиденциальности с именем Строго конфиденциально, которая будет применяться к данным самого высокого уровня конфиденциальности, вам может понадобиться сразу указать пользователей, которые получат разрешение на такое содержимое, а также тип разрешений.

Альтернативное решение: если у вас есть метка конфиденциальности Деловые контракты, а рабочий процесс организации требует, чтобы пользователи работали над таким содержимым совместно с разными специалистами по мере необходимости, вы можете позволить пользователям самостоятельно указывать, кто получит разрешения, при назначении метки. Такая гибкость способствует продуктивной работе пользователей и сокращает количество обращений к администраторам с просьбой обновить или создать новые метки конфиденциальности в соответствии с определенными сценариями.

Выбор, нужно ли назначать разрешения сразу или разрешить пользователям назначать разрешения:

Возможность добавления разрешений, определяемых пользователем или администратором.

Назначение разрешений

Используйте следующие параметры для управления доступом к электронной почте, приглашениям на собрания (если они включены) или документам, к которым применяется эта метка. Варианты действий:

  • Разрешите срок действия доступа к содержимому с метками либо в определенную дату, либо через определенное число дней после применения метки. По истечении этого времени пользователи не смогут открыть помеченный элемент. Если вы укажете дату, она вступает в силу в полночь для этой даты в текущем часовом поясе. Некоторые почтовые клиенты могут не применять срок действия и отображать сообщения электронной почты после даты окончания срока действия из-за механизмов кэширования.

  • Разрешать автономный доступ никогда, всегда или в течение определенного количества дней после применения метки. Используйте этот параметр, чтобы найти компромисс между требованиями безопасности и возможностью открывать зашифрованное содержимое, если у пользователя нет подключения к Интернету. Если вы ограничиваете доступ в режиме автономной работы вариантом "никогда" или "на определенное количество дней", при достижении соответствующего порогового значения пользователи должны снова пройти проверку подлинности, а сведения об их доступе записываются в журнал. Дополнительные сведения о том, как работает этот процесс, см. в следующем разделе, посвященном Управлению лицензионными правами.

Параметры для управления доступом к зашифрованному содержимому:

Параметры для разрешений, определяемых администратором.

Рекомендации для параметров срока действия и автономного доступа:

Параметр Рекомендуемый параметр
Срок действия прав пользователей на доступ к содержимому истекает. Никогда, если для содержимого не указано определенное требование по времени.
Разрешить автономный доступ. Зависит от конфиденциальности содержимого:

- В течение определенного числа дней = 7 для конфиденциальных бизнес-данных, передача которых неавторизованным пользователям может нанести ущерб бизнесу. Эта рекомендация обеспечивает сбалансированный компромисс между гибкостью и безопасностью. Примеры: контракты, отчеты системы безопасности, прогнозные сводки и данные о продажах клиентам.

- Никогда для строго конфиденциальных бизнес-данных, предоставление которых неавторизованным пользователям может нанести ущерб организации. Эта рекомендация определяет приоритет безопасности над гибкостью и гарантирует, что при удалении доступа одного или нескольких пользователей к документу они не смогут открыть его. Примеры: информация о сотрудниках и клиентах, пароли, исходный код и финансовые отчеты, о которых объявляется заранее.

- Всегдадля менее конфиденциального содержимого, если не имеет значения, могут ли пользователи продолжать открывать зашифрованное содержимое в течение 30 дней (или иного настроенного срока действия лицензии для клиента), если их доступ был отменен, но ранее они открывали зашифрованное содержимое.

Только метки, настроенные для назначения разрешений, теперь поддерживают разные значения для автономного доступа. Метки, которые позволяют пользователям назначать разрешения, автоматически используют срок действия управления лицензионными правами клиента. Например, метки, которые настроены с параметрами "Не пересылать", "Только шифрование" и просят пользователей задать собственные разрешения. Значение по умолчанию для этого параметра — 30 дней.

Служба управления правами использует лицензию для доступа в режиме автономной работы

Примечание.

Вы можете настроить параметр шифрования, чтобы разрешить автономный доступ, но некоторые приложения могут не поддерживать автономный доступ для зашифрованного содержимого. Например, помеченные и зашифрованные файлы в Power BI Desktop не будут открываться, если вы в автономном режиме.

Когда пользователь открывает элемент, защищенный шифрованием из службы Azure Rights Management, пользователю предоставляется лицензия на использование Azure Rights Management для этого содержимого. Эта лицензия на использование является сертификатом, содержащим права пользователя на использование документа или сообщения электронной почты, а также ключ шифрования, примененный для шифрования содержимого. Лицензия на использование также содержит дату окончания срока действия, если она установлена, и срок действия лицензии на использование.

Если дата окончания срока действия не установлена, срок действия лицензии на использование по умолчанию для клиента составляет 30 дней. В течение срока действия лицензии на использование пользователь не будет повторно авторизации или повторно авторизации для содержимого. Этот процесс позволяет пользователю продолжать открывать защищенный документ или электронную почту без подключения к Интернету. По истечении срока действия лицензии на использование при следующем доступе пользователя к защищенному документу или электронной почте пользователь должен пройти повторную проверку подлинности и повторно авторизации.

Помимо повторной проверки подлинности переоцениваются параметры шифрования и принадлежность пользователя к группе. Это означает, что пользователи могут столкнуться с различными результатами доступа для одного и того же элемента, если в параметрах шифрования или членстве в группах произошли изменения с момента последнего доступа к содержимому.

Чтобы узнать, как изменить стандартный параметр 30-дневного срока действия, см. раздел Лицензия на использования службы Microsoft Azure AD Rights Management.

Назначение разрешений определенным пользователям или группам

Вы можете предоставить разрешения определенным людям, чтобы только они могли работать с содержимым, которому присвоена метка:

  1. Сначала добавьте пользователей или группы, которым будут назначены разрешения в отношении содержимого с присвоенной меткой.

  2. Затем выберите, какие разрешения должны быть у этих пользователей в отношении содержимого с присвоенной меткой.

Назначение разрешений:

Варианты назначения разрешений пользователям.

Добавление пользователей или групп

Когда вы назначаете разрешения, вы можете выбрать один из приведенных ниже вариантов.

  • Все в вашей организации (все участники клиента). Этот параметр исключает гостевые учетные записи.

  • Все прошедшие проверку подлинности пользователи. Изучите требования и ограничения этого параметра перед его выбором.

  • Любой определенный пользователь, группа безопасности с поддержкой электронной почты, группа рассылки или группа Microsoft 365 в Azure AD. В группах Microsoft 365 может быть статическое или динамическое членство. Обратите внимание, что вы не можете использовать динамическую группу рассылки из Exchange, поскольку этот тип группы не синхронизируется с Azure AD. Вы также не можете использовать группы безопасности, для которых не включена электронная почта.

    Вы можете указать группы, содержащие почтовые контакты, в качестве удобного метода предоставления доступа нескольким людям за пределами вашей организации, но в настоящее время существует известная проблема с этой конфигурацией. Дополнительные сведения см. в разделе Контакты почты в группах с периодическим доступом к зашифрованному содержимому.

  • Любой адрес электронной почты или домен. Используйте этот вариант, чтобы указать всех пользователей из другой организации, использующих Azure AD, путем ввода любого доменного имени из этой организации. Вы также можете использовать этот вариант для поставщиков социальных служб, указав их доменное имя, например gmail.com, hotmail.com или outlook.com.

    Примечание.

    Если указать домен из организации, использующей Azure AD, невозможно ограничить доступ к этому определенному домену. Вместо этого все проверенные домены в Azure AD автоматически включаются для клиента, которому принадлежит указанное доменное имя.

Если вы выбираете всех пользователей и группы в своей организации или указываете каталог, пользователи или группы должны иметь адрес электронной почты.

Рекомендуется использовать группы, а не пользователей. Эта стратегия упрощает настройку.

Требования и ограничения для параметра "Добавление всех пользователей, прошедших проверку подлинности"

Этот параметр не ограничивает список пользователей, которым доступно содержимое, зашифрованное меткой, при этом он шифрует содержимое и предоставляет возможности ограничить использование содержимого (разрешения) и доступ к нему (срок действия и автономный доступ). Однако приложение, открывающее зашифрованное содержимое, должно поддерживать используемую проверку подлинности. По этой причине федеративные поставщики социальных сетей, такие как Google, и однократная проверка подлинности секретного кода работают только для сообщений электронной почты и приглашений на собрания и только при использовании Exchange Online. Учетные записи Майкрософт можно использовать в приложениях Office 365 и средстве просмотра Azure Information Protection.

Примечание.

Рассмотрите возможность использования этого параметра с интеграцией SharePoint и OneDrive с Azure AD B2B при включенных метках конфиденциальности для файлов Office в SharePoint и OneDrive.

Некоторые типичные сценарии для параметра добавления всех пользователей, прошедших проверку подлинности:

  • Вы разрешаете всем пользователям просматривать содержимое, но хотите ограничить способ его использования. Например, вы не хотите, чтобы содержимое изменялось, копировалось или распечатывалось.
  • Вам не нужно ограничивать получателей доступа к содержимому, но требуется возможность подтверждения тех, кто его открывает.
  • Вам требуется, чтобы содержимое было зашифровано при хранении и перемещении, но нет необходимости в элементах управления доступом.

Выбор разрешений

При выборе того, какие разрешения следует предоставить определенным пользователям или группам, вы можете выбрать один из приведенных ниже вариантов.

  • Заранее определенный уровень разрешений с предварительно заданной группой прав, например "Соавтор" или "Рецензент".
  • Настраиваемые разрешения, в которых можно выбрать одно или несколько прав использования.

Дополнительные сведения о выборе соответствующих разрешений см. в разделе Права на использование и их описание.

Варианты выбора предварительных установок или настраиваемых разрешений.

Обратите внимание, что одна и та же метка может предоставлять разные разрешения для разных пользователей. Например, одна метка может назначить некоторых пользователей в качестве рецензента и другого пользователя в качестве соавтора, как показано на следующем снимке экрана.

Для этого добавьте пользователей или группы, назначьте им разрешения и сохраните эти параметры. Затем повторите эти действия, добавляя пользователей и назначая им разрешения, сохраняя параметры каждый раз. Эту конфигурацию можно повторять так часто, как это необходимо, чтобы определить различные разрешения для разных пользователей.

Разные пользователи с разными разрешениями.

У издателя в службе управления правами (пользователь, применяющий метку конфиденциальности) всегда остается полный контроль

По умолчанию для шифрования метки конфиденциальности используется служба Azure Rights Management из Azure Information Protection. Когда пользователь применяет метку конфиденциальности для защиты документа или электронной почты с помощью шифрования, он становится издателем в службе управления правами для такого содержимого.

Издателю в службе управления правами всегда предоставляются разрешения на полный доступ для документа или электронной почты, а также приведенные ниже полномочия.

  • Если в параметрах шифрования есть дата окончания срока действия, издатель в службе управления правами по-прежнему может открывать и редактировать документ или сообщения электронной почты после этой даты.
  • Издатель в службе управления правами всегда может получить доступ к документу или электронной почте в режиме автономной работы.
  • Издатель в службе управления правами по-прежнему может открывать документ после того, как тот будет отозван.

Дополнительные сведения см. в статье Издатель в службе управления правами и владелец в службе управления правами.

Шифрование с двойным ключом

Примечание.

В настоящее время эта функция поддерживается только клиентом унифицированных меток Azure Information Protection, если вы не включили совместное редактирование и автосохранение для зашифрованных документов.

Выберите этот параметр только после того, как вы настроили службу шифрования двойного ключа и вам потребуется использовать это шифрование с двойным ключом для файлов, к которым будет применена эта метка. После настройки и сохранения метки вы не сможете ее изменить.

Дополнительные сведения, предварительные требования и инструкции по настройке см. в статье Шифрование с двойным ключом (DKE).

Предоставление пользователям возможности назначать разрешения

Важно!

Не все клиенты применения меток поддерживают все параметры, разрешающие пользователям назначать собственные разрешения. Используйте этот раздел, чтобы узнать больше.

Вы можете использовать следующие варианты, чтобы позволить пользователям назначать разрешения, когда они вручную применяют метку конфиденциальности к содержимому.

  • В Outlook пользователь может выбрать ограничения, эквивалентные параметру Не пересылать или Только шифрование для определенных получателей.

    Параметр "Не пересылать" поддерживается всеми почтовыми клиентами, которые поддерживают метки конфиденциальности. Однако применение параметра Только шифрование с меткой конфиденциальности — это более новый выпуск, который поддерживается только встроенными метками, но не клиентом унифицированных меток Azure Information Protection. В почтовых клиентах, не поддерживающих эту возможность, метка не отображается.

    Чтобы проверить минимальный номер версии приложений Outlook, использующих встроенное применение меток для поддержки применения параметра "Только шифрование" с меткой конфиденциальности, см. таблицу возможностей для Outlook и строку Предоставление пользователям возможности назначать разрешения: только шифрование.

  • В Word, PowerPoint и Excel пользователю предлагается выбрать собственные разрешения для определенных пользователей, групп или организаций.

    Этот параметр поддерживается клиентом унифицированных меток Azure Information Protection и некоторыми приложениями, использующими встроенные метки. Для приложений, не поддерживающих эту возможность, метка либо не будет видна пользователям, либо она будет видна для согласованности, но ее нельзя будет применить (пользователи увидят объяснение).

    Чтобы узнать, какие приложения, использующие встроенные метки, поддерживают этот параметр, воспользуйтесь таблицей возможностей для Word, Excel и PowerPoint и строкой Предоставление пользователям возможности назначать разрешения.

Примечание.

Вы не сможете использовать эти конфигурации, если метка область исключает электронную почту (не пересылать и только шифровать) или исключает файлы (для запроса пользователей в Word, PowerPoint и Excel). Дополнительные сведения см. в разделе Область меток только для файлов или сообщений электронной почты.

Если параметры поддерживаются, используйте следующую таблицу, чтобы определить, когда пользователям будет отображаться метка конфиденциальности:

Параметр Метка отображается в Outlook Метка отображается в Word, Excel, PowerPoint
В Outlook применить ограничения с помощью параметра "Не пересылать" или "Только шифрование" Да Нет
В Word, PowerPoint и Excel предлагать пользователям задать разрешения Нет Да

При выборе обоих параметров метка будет отображаться как в Outlook, так и в Word, Excel и PowerPoint.

Метку конфиденциальности, позволяющую пользователям назначать разрешения, требуется применять к содержимому вручную; она не может применяться автоматически или использоваться в качестве рекомендуемой метки.

Настройка назначаемых пользователем разрешений:

Параметры шифрования для разрешений, определяемых пользователем.

Ограничения для Outlook

В Outlook, когда пользователь применяет метку конфиденциальности, которая позволяет ему назначать разрешения сообщению, вы можете выбрать Не пересылать или Только шифрование. Пользователь видит имя и описание метки в верхней части сообщения, что указывает на защиту содержимого. В отличие от Word, PowerPoint и Excel (см. следующий раздел), пользователям не предлагается выбрать определенные разрешения.

Метка конфиденциальности, примененная к сообщению в Outlook.

Если к сообщению электронной почты применяется любой из этих параметров, оно зашифровано, а получатели будут должны пройти проверку подлинности. После этого получателям автоматически будут присвоены ограниченные права на использование:

  • Не пересылать: получатели не смогут ни пересылать, ни печатать сообщение электронной почты, ни копировать из него фрагменты. Например, в клиенте Outlook кнопка "Переслать", пункты меню "Сохранить как" и "Печать" будут недоступны, и вы не сможете ни добавить, ни изменить получателей в полях "Кому", "Копия" или "СК".

    Дополнительные сведения о том, как работает этот параметр, см. в разделе Параметр "Не пересылать" для электронной почты.

  • Только шифрование: у получателей есть все права на использование, кроме "Сохранить как", "Экспорт" и "Полный доступ". Такое сочетание прав на использование означает, что у получателей нет ограничений, за исключением того, что они не могут удалить защиту. Например, получатель может копировать фрагменты из сообщения электронной почты, распечатать его, а также перенаправить.

    Дополнительные сведения о том, как работает этот параметр, см. в разделе Параметр "Только шифрование" для электронной почты.

Незашифрованные документы Office, прикрепленные к сообщению электронной почты или приглашению на собрание, автоматически наследуют те же ограничения. Для параметра "Не пересылать" права на использование, применяемые к таким документам: "Редактировать содержимое", "Редактировать", "Сохранить", "Просмотреть", "Открыть", "Прочесть" и "Разрешить макросы". Если пользователю нужны другие права на использование для вложения или вложение не является документом Office, поддерживающим эту унаследованную защиту, пользователю необходимо зашифровать файл, прежде чем вложить его в сообщение электронной почты или приглашение на собрание.

Разрешения для Word, PowerPoint и Excel

В Word, PowerPoint и Excel, когда пользователь применяет метку конфиденциальности, позволяющую назначать разрешения документу, ему предлагается выбрать пользователей и разрешения для шифрования.

Например, при использовании клиента унифицированных меток Azure Information Protection, если не включено совместное редактирование, пользователи могут:

  • Выбрать уровень разрешения, например "Пользователь с правом на просмотр" (при этом назначается разрешение "Только просмотр") или "Совместное редактирование" (при этом назначаются разрешения на просмотр, редактирование, копирование и печать).
  • Выбрать пользователей, группы или организации. Сюда могут входить пользователи внутри организации или за ее пределами.
  • Задать срок действия, после которого выбранные пользователи не смогут получить доступ к содержимому. Дополнительные сведения см. в разделе выше Лицензия на использование службы управления правами для доступа в режиме автономной работы.

Возможности пользователя для защиты с помощью пользовательских разрешений.

Для встроенной маркировки и для клиента унифицированных меток Azure Information Protection при включенном совместном редактировании пользователи видят такое же диалоговое окно, как если бы они выбрали следующее:

  • Windows: вкладка "Файл" >"Сведения>" Защита документа>Ограничение доступа>

  • macOS: просмотрвкладки> Разрешения защиты >>с ограниченным доступом

Совет

Если пользователи были знакомы с настройкой пользовательских разрешений с помощью клиента унифицированных меток Azure Information Protection перед включением совместного авторства, может быть полезным просмотреть сопоставление уровней разрешений с правами отдельных пользователей: Права, включенные в уровни разрешений.

Поддержка настраиваемых разрешений для всей организации.

Теперь доступные для встроенной маркировки в Windows, пользователи могут указать доменное имя, которое будет применяться ко всем пользователям в организации, которая владеет доменом и находится в Azure Active Directory. Чтобы определить минимальные версии, поддерживающие этот параметр, используйте таблицу возможностей и строку Разрешить пользователям назначать разрешения:- Запрашивать у пользователей настраиваемые разрешения (пользователи, группы и организации).

Эта возможность обеспечивает соответствие с клиентом унифицированной маркировки Azure Information Protection:

Обновлено диалоговое окно для поддержки настраиваемых разрешений на уровне всей организации.

Например, пользователь вводит @contoso.com (или contoso.com) и предоставляет доступ на чтение. Поскольку Contoso Corporation владеет доменом contoso.com, всем пользователям в этом домене и во всех других доменах, которыми владеет организация в Azure Active Directory, будет предоставлен доступ для чтения.

Примечание.

При указании этих значений не заключайте их в кавычки.

Важно, чтобы пользователи знали, что доступ не ограничивается только пользователями в указанном домене. Например, @sales.contoso.com не будет ограничивать доступ пользователей только в поддомене продаж, но также предоставляет доступ пользователям в домене marketing.contoso.com и даже пользователям с несвязанным пространством имен в том же клиенте Azure Active Directory.

Примеры настроек параметров шифрования

В каждом из приведенных ниже примеров выполните настройку на странице Шифрование (если выбрана команда Настроить параметры шифрования).

Параметр применения шифрования в мастере метки конфиденциальности.

Пример 1. Метка, применяющая параметр "Не пересылать" при отправке зашифрованного письма в учетную запись Gmail

Эта метка отображается только в Outlook и Outlook в Интернете, и необходимо использовать Exchange Online. Проинструктируйте пользователей о необходимости выбора этой метки, когда требуется отправить зашифрованное письмо пользователю, применяющему учетную запись Gmail (или другую учетную запись электронной почты за пределами вашей организации).

Ваши пользователи вводят адрес электронной почты Gmail в поле Кому. Затем они выбирают метку, и параметр "Не пересылать" автоматически добавляется в письмо. В результате получатели не смогут переслать письмо, распечатать его, копировать из него, а также сохранять письмо за пределами своего почтового ящика с помощью операции Сохранить как.

  1. На странице Шифрование для параметра Назначить разрешения сейчас или оставить на усмотрение пользователей? выберите Разрешить пользователям назначать разрешения при применении метки.

  2. Установите флажок В Outlook применить ограничения, эквивалентные параметру "Не пересылать".

  3. Если установлен флажок В Word, PowerPoint и Excel предлагать пользователям задать разрешения, снимите его.

  4. Щелкните Далее и завершите настройку.

Пример 2. Метка, допускающая разрешения только для чтения для всех пользователей из другой организации

Эта метка подходит для предоставления общего доступа к конфиденциальным документам с разрешением только для чтения, и для просмотра документов всегда требуется подключение к Интернету.

Эта метка не подходит для сообщений электронной почты.

  1. На странице Шифрование для параметра Назначить разрешения сейчас или оставить на усмотрение пользователей? выберите Назначение разрешений.

  2. Для параметра Разрешить автономный доступ выберите Никогда.

  3. Щелкните Назначить разрешения.

  4. В области Назначение разрешений выберите Добавить конкретные адреса электронной почты или домены.

  5. В текстовом поле введите имя домена из другой организации, например fabrikam.com. Затем нажмите Добавить.

  6. Нажмите кнопку Выбрать разрешения.

  7. В области Выбор разрешений щелкните раскрывающийся список, выберите Пользователь с правом просмотра и нажмите Сохранить.

  8. В области Назначить разрешения нажмите Сохранить.

  9. На странице Шифрование щелкните Далее и завершите настройку.

Пример 3. Добавление внешних пользователей в существующую метку, шифрующую содержимое

Добавляемые новые пользователи смогут открывать документы и сообщения электронной почты, уже защищенные с помощью этой метки. Разрешения, предоставляемые этим пользователям, могут отличаться от разрешений существующих пользователей.

  1. На странице Шифрование проверьте, что для параметра Назначить разрешения сейчас или оставить на усмотрение пользователей? выбрано Назначение разрешений.

  2. Щелкните Назначить разрешения.

  3. В области Назначение разрешений выберите Добавить конкретные адреса электронной почты или домены.

  4. В текстовом поле введите адрес электронной почты первого пользователя (или группы) для добавления и нажмите Добавить.

  5. Нажмите кнопку Выбрать разрешения.

  6. В области Выбор разрешений выберите разрешения для этого пользователя (или группы) и нажмите Сохранить.

  7. В области Назначить разрешения повторите действия 3–6 для каждого пользователя (или группы), которого нужно добавить в эту метку. Затем нажмите кнопку Сохранить.

  8. На странице Шифрование щелкните Далее и завершите настройку.

Пример 4. Метка, шифрующая содержимое, но не ограничивающая доступ к нему

Преимущество этой настройки состоит в том, что вам не требуется указывать пользователей, группы или домены, чтобы зашифровать сообщение электронной почты или документ. Содержимое будет зашифровано, и вы по-прежнему указываете права на использование, срок действия и возможность автономного доступа.

Используйте эту настройку только в том случае, если вам не требуется ограничивать, кто может открывать защищенный документ или сообщение электронной почты. См. дополнительные сведения об этой настройке.

  1. На странице Шифрование проверьте, что для параметра Назначить разрешения сейчас или оставить на усмотрение пользователей? выбрано Назначение разрешений.

  2. Настройте параметры Срок действия прав пользователей на доступ к содержимому истекает и Разрешить автономный доступ в соответствии с требованиями.

  3. Щелкните Назначить разрешения.

  4. В области Назначить разрешения выберите Добавить пользователей, прошедших проверку подлинности.

    В области Пользователи и группы автоматически добавится раздел Пользователи, прошедшие проверку подлинности. Вы не можете изменить это значение. Его можно только удалить, что отменяет выбор параметра Добавить пользователей, прошедших проверку подлинности.

  5. Нажмите кнопку Выбрать разрешения.

  6. В области Выбор разрешений щелкните раскрывающийся список, выберите нужные разрешения и нажмите Сохранить.

  7. В области Назначить разрешения нажмите Сохранить.

  8. На странице Шифрование щелкните Далее и завершите настройку.

Сведения для зашифрованного содержимого

Шифрование наиболее конфиденциальных документов и писем позволяет гарантировать, что только авторизованные пользователи смогут получить доступ к этим данным. Однако следует учитывать некоторые моменты:

  • Если в вашей организации не включены метки конфиденциальности для файлов Office в SharePoint и OneDrive:

    • Поиск, обнаружение электронных данных и Delve не будут поддерживать зашифрованные файлы.
    • Политики защиты от потери данных применяются к метаданным этих зашифрованных файлов, включая сведения о метках хранения (но не к содержимому файлов, например номерам кредитных карт).
    • Пользователи не могут открывать зашифрованные файлы с помощью Office в Интернете. Если метки конфиденциальности для файлов Office в SharePoint и OneDrive включены, пользователи могут использовать Office в Интернете для открытия зашифрованных файлов с некоторыми ограничениями, включающими шифрование, примененное с помощью локального ключа (другое название — "собственный ключ" или HYOK), шифрование с двойным ключом и шифрование, примененное независимо от метки конфиденциальности.

  • При совместном использовании зашифрованных документов с людьми за пределами вашей организации может потребоваться создать гостевые учетные записи и изменить политики условного доступа. Дополнительные сведения см. в разделе Совместное использование зашифрованных документов с внешними пользователями.

  • Когда авторизованные пользователи открывают зашифрованные документы в приложениях Office, в верхней части приложения на желтой панели сообщений отображается название и описание метки. Если разрешения функции шифрования действуют и для пользователей за пределами вашей организации, внимательно проверьте названия и описания меток, которые будут отображаться на панели сообщений при открытии документа.

  • Чтобы несколько пользователей одновременно редактировали зашифрованный файл, все они должны использовать Office в Интернете, либо вам следует включить совместную работу над файлами, зашифрованными с помощью меток конфиденциальности, а у всех пользователей должны быть приложения Office, поддерживающие эту функцию. В противном случае, если файл уже открыт:

    • В приложениях Office (Windows, Mac, Android и iOS) для пользователей отобразится сообщение Файл используется с именем пользователя, который извлек файл. После этого они смогут просмотреть копию файла, предназначенную только для чтения, или сохранить и изменить копию файла, а также получать уведомления о доступности файла.
    • В Office в Интернете пользователям выводится ошибка с сообщением о том, что они не могут редактировать документ с другими людьми. После этого они смогут выбрать команду Открыть в режиме чтения.

  • Функция автосохранения в приложениях Office отключена для зашифрованных файлов, если вы не включили совместное редактирование для файлов, зашифрованных с помощью меток конфиденциальности. Для пользователей отображается сообщение о том, что в файле есть ограниченные разрешения, которые требуется удалить, чтобы можно было включить автосохранение.

  • Office для Windows поддерживает метки, которые применяют шифрование, если пользователи не подключены к Интернету. Но для других платформ (macOS, iOS, Android) пользователи должны быть подключены к сети, чтобы применить эти метки в приложениях Office. Клиент унифицированных меток Azure Information Protection также должен быть подключен к сети для применения этих меток в проводнике и PowerShell. Для открытия зашифрованного содержимого пользователям не нужно быть в сети. Дополнительные сведения об автономном доступе см. в разделе Лицензия на использование Rights Management для автономного доступа.

  • Открытие зашифрованных файлов в приложениях Office (Windows, Mac, Android и iOS) может выполняться дольше.

  • Если метка, применяющая шифрование, добавлена с помощью приложения Office, когда документ извлечен из SharePoint и пользователь отменяет извлечение, документ сохраняет метку и остается зашифрованным.

  • Если вы не включили совместное редактирование для файлов, зашифрованных с помощью меток конфиденциальности, следующие действия для зашифрованных файлов не поддерживаются в приложениях Office (Windows, Mac, Android и iOS), и пользователи увидят сообщение об ошибке о том, что что-то пошло не так. Однако в качестве альтернативы можно использовать возможности SharePoint:

Для оптимальной совместной работы над файлами, зашифрованными с помощью меток конфиденциальности, рекомендуется использовать метки конфиденциальности для файлов Office в SharePoint и OneDrive и Office в Интернете.

Дальнейшие действия

Требуется предоставить общий доступ к помеченным зашифрованным документам пользователям за пределами вашей организации? См. раздел Совместное использование зашифрованных документов с внешними пользователями.

Сведения об использовании меток конфиденциальности для шифрования видео- и аудиопотоков для собраний Teams см. в статье Использование меток конфиденциальности для защиты элементов календаря, собраний Teams и чата.