Настройка метки для защиты Rights Management

  • Статья

Вы можете защитить свои конфиденциальные документы и письма с помощью службы Rights Management. Эта служба использует политики шифрования, идентификации и авторизации, чтобы предотвратить потерю данных. Защита применяется путем настройки метки для использования защиты Rights Management для документов и писем. Пользователи также могут нажать кнопку Не пересылать в Outlook.

При настраивании метки с параметром защиты Azure (облачный ключ) на самом деле создается и настраивается шаблон защити, доступный службам и приложениям, интегрированным с шаблонами Rights Management. Например, Exchange Online и правила потока обработки почты, а также Outlook в браузере.

Принципы работы защиты

Если документ или письмо защищены службой Rights Management, они шифруются при передаче и в неактивном состоянии. Их могут расшифровать только авторизованные пользователи. Это шифрование документа или письма сохраняется даже в случае их переименования. Кроме того, вы можете настроить права и ограничения использования, как в следующих примерах:

  • Только пользователи в вашей организации смогут открывать корпоративный конфиденциальный документ или письмо.

  • Только пользователи отдела маркетинга смогут изменять и распечатывать документ или письмо с рекламным объявлением, в то время как остальные пользователи смогут только читать его.

  • Пользователи не смогут пересылать письмо или копировать его текст, содержащий новости о внутренней реорганизации.

  • Текущий прайс-лист, отправленный деловым партнерам, нельзя будет открыть после указанной даты.

Дополнительные сведения о защите Azure Rights Management и о том, как она работает, см. в статье Что из себя представляет служба управления правами Azure.

Важно!

Чтобы настроить метку для применения защиты, необходимо активировать службу Azure Rights Management в вашей организации. Дополнительные сведения см. в статье об активации службы защиты в Azure Information Protection.

Когда с помощью метки применена защита, защищенный документ нельзя сохранять в SharePoint или OneDrive. Эти расположения не поддерживают следующие функции для защищенных файлов: совместное редактирование, Office для Интернета, поиск, предварительный просмотр документов, эскиз, обнаружение электронных данных и защита от потери данных (DLP).

Совет

При переносе меток в унифицированные метки конфиденциальности и их публикации из центра соответствия требованиям Microsoft 365 метки, которые применяют защиту, затем поддерживаются для этих расположений. Дополнительные сведения см. в разделе "Включение меток конфиденциальности для файлов Office в SharePoint и OneDrive".

Exchange не следует настраивать для управления правами на доступ к Azure Information Protection, прежде чем пользователи смогут применять метки в Outlook для защиты своей электронной почты. Тем не менее, если не настроить Azure Information Protection в Exchange, вы сможете использовать не все возможности защиты управления правами Azure в Exchange. Например, пользователи не могут просматривать защищенные письма на мобильных телефонах или в Outlook в Интернете, защищенные письма нельзя проиндексировать для поиска и невозможно настроить Exchange Online DLP для защиты Rights Management. Чтобы убедиться, что Exchange может поддерживать дополнительные сценарии, ознакомьтесь со следующими ресурсами:

Настройка метки для параметров защиты

  1. Если вы еще этого не сделали, откройте новое окно в браузере и войдите на портал Azure. Затем перейдите в область Azure Information Protection.

    Например, в поле поиска ресурсов, служб и документов введите Information и в результатах выберите Azure Information Protection.

  2. В меню"Метки классификаций>": на панели "Метки Azure" Information Protection выберите метку, которую вы хотите изменить.

  3. В области Метка найдите параметр Задайте разрешения для документов и электронных писем, имеющих эту метку и выберите один из следующих параметров:

    • Не настроено. Выберите этот параметр, если метка настроена для применения защиты и вы больше не хотите, чтобы выбранная метка ее применяла. Перейдите к шагу 11.

      Ранее настроенные параметры защиты сохраняются в виде заархивированного шаблона защиты. Они снова отобразятся, если вы измените параметр обратно на Защита. Этот шаблон не появится на портале Azure, но при необходимости вы все равно сможете управлять им с помощью PowerShell. Это означает, что содержимое будет доступно, пока у него есть метка с ранее примененными параметрами защиты.

      Если применяется метка с этим параметром защиты Не настроен:

      • Если содержимое было ранее защищено без использования метки, эта защита сохраняется.

      • Если содержимое было ранее защищено с меткой, эта защита удаляется, если применяющий метку пользователь имеет разрешение на удаление защиты Rights Management. Это требование означает, что пользователю необходимы права на использование для действия Экспорт или с уровнем Полный доступ. Либо же пользователь должен быть владельцем Rights Management (автоматически получает право полного доступа) или суперпользователем Azure Rights Management.

        Если у пользователя нет разрешений на удаление защиты, метка не может быть применена и отображается следующее сообщение: Azure Information Protection не может применить эту метку. Если эта проблема не исчезнет, обратитесь к администратору.

    • Защитить. Выберите этот параметр, чтобы применить защиту, а затем перейдите к шагу 4.

    • Удалить защиту. Выберите этот параметр, чтобы удалить защиту, если документ или письмо защищены. Перейдите к шагу 11.

      Если защита была применена без метки или шаблона защиты, параметры защиты сохраняются в виде архивированного шаблона защиты. Они снова отобразятся, если вы измените параметр обратно на Защита. Этот шаблон не появится на портале Azure, но при необходимости вы все равно сможете управлять им с помощью PowerShell. Это означает, что содержимое будет доступно, пока у него есть метка с ранее примененными параметрами защиты.

      Учтите, что пользователь должен иметь разрешения на удаление защиты Rights Management, чтобы успешно применить метку, которая поддерживает эту возможность. Это требование означает, что пользователю необходимы права на использование для действия Экспорт или с уровнем Полный доступ. Либо же пользователь должен быть владельцем Rights Management (автоматически получает право полного доступа) или суперпользователем Azure Rights Management.

      Если пользователь, применяющий метку с этим параметром, не имеет разрешений на удаление Rights Management защиты, метка не может быть применена и отображается следующее сообщение: Azure Information Protection не может применить эту метку. Если эта проблема не исчезнет, обратитесь к администратору.

  4. Если вы выбрали параметр Защитить, автоматически откроется область Защита, если ранее был выбран один из других вариантов. Если эта новая область не открывается автоматически, выберите параметр Защитить:

    Configure protection for an Azure Information Protection label

  5. В области Защита выберите Azure (облачный ключ) или HYOK (AD RMS).

    В большинстве случаев следует выбрать Azure (облачный ключ) в качестве параметра разрешений. Не выбирайте HYOK (AD RMS), если вы не прочитали и не поняли предварительные требования и ограничения, которые относятся к конфигурации Храни свой собственный ключ (HYOK). Дополнительные сведения см. в статье Требования и ограничения конфигурации "Храни свой собственный ключ" (HYOK) для защиты AD RMS. Чтобы продолжить настройку для HYOK (AD RMS), перейдите к шагу 9.

  6. Выберите один из следующих вариантов.

    • Установить разрешения. Определяет новые параметры защиты на этом портале.

    • Set user-defined permissions (Preview) (Задать определенные пользователем разрешения (предварительная версия)) — включение для пользователей возможности указывать, кому должны быть предоставлены разрешения и каковы эти разрешения. Затем вы можете уточнить этот параметр и выбрать только Outlook, Word, Excel, PowerPoint и проводник. Этот параметр не поддерживается и не работает, когда для метки настроена автоматическая классификация.

      Если выбрать вариант для Outlook: метка отображается в Outlook и результирующее поведение при применении метки совпадает с параметром "Не пересылать".

      Если вы выберете вариант для Word, Excel, PowerPoint и проводника, при установке этого параметра метка будет отображаться в этих приложениях. В результате при применении метки отображается диалоговое окно для выбора настраиваемых разрешений. В этом диалоговом окне пользователи выбирают один из стандартных уровней разрешений, указывают пользователей или группы либо переходят к ним и при необходимости задают дату окончания срока действия. Удостоверьтесь, что у пользователей есть инструкции и руководство по указанию этих значений.

      Примечание

      Поддержка azure Information Protection для настройки пользовательских разрешений в настоящее время доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

    • Выбор предопределенного шаблона. Для использования одного из шаблонов по умолчанию или настраиваемого шаблона, который вы настроили. Обратите внимание, что этот параметр не отображается у новых меток при редактировании метки, для которой ранее использовался параметр Задать разрешения.

      Чтобы выбрать предопределенный шаблон, он должен быть опубликован (не архивирован) и не должен быть привязан к другой метке. Если вы выберете этот параметр, вы можете нажать кнопку Изменить шаблон, чтобы преобразовать шаблон в метку.

      Если вы занимаетесь созданием и изменением пользовательских шаблонов, ознакомьтесь с задачами, выполняемыми с помощью классического портала Azure.

  7. Если вы выбрали параметр Установить разрешения для Azure (облачный ключ), вы сможете выбрать пользователей и права на использование.

    Если вы не выберете пользователей и нажмите кнопку "ОК " на этой панели, а затем нажмите кнопку "Сохранить " на панели меток : метка настроена для применения защиты, чтобы только пользователь, который применяет метку, может открыть документ или сообщение электронной почты без ограничений. Такая конфигурация иногда называется конфигурацией "только для меня" — в некоторых случаях требуется, чтобы только пользователь, который может сохранить файл где угодно, имел право открывать этот файл. Если это вам подходит и другим пользователям не требуется совместная работа над защищенным содержимым, не выбирайте параметр Добавить разрешения. После сохранения метки при следующем открытии области Защита вы увидите значение IPC_USER_ID_OWNER в разделе Пользователи и Совладелец в разделе Разрешения.

    Чтобы указать пользователей, которые смогут открывать защищенные документы и сообщения, выберите Добавить разрешения. В области Добавление разрешений выберите первый набор пользователей и групп, которые будут иметь права на использование содержимого, которое будет защищено с помощью выбранной метки:

    • Выберите "Выбрать" из списка , в котором можно добавить всех пользователей из организации, выбрав " Добавить <название> организации" — "Все участники". Этот параметр исключает гостевые учетные записи. Также вы можете выбрать Добавить всех прошедших проверку подлинности пользователей или перейти к каталогу.

      При выборе всех членов или переходе к каталогу убедитесь, что все пользователи или группы имеют адреса электронной почты. В рабочей среде пользователи и группы почти всегда имеют адрес электронной почты, но в простой тестовой среде вам может потребоваться добавить адреса электронной почты в учетные записи пользователей или группы.

      Дополнительные сведения о параметре Add any authenticated users (Добавлять всех аутентифицированных пользователей)

      Этот параметр не ограничивает доступ к содержимому, защищенному с помощью метки, но шифрует это содержимое и позволяет вам ограничить для него допустимое использование (разрешения) и методы доступа (срок действия и автономный доступ). Но приложения, открывающие защищенное содержимое, должны поддерживать используемый метод аутентификации. По этой причине следует ограничить применение поставщиков социальных сетей, таких как Google, и аутентификацию с помощью одноразовых секретных кодов. Их следует применять только для электронной почты, при использовании Exchange Online и новых возможностей шифрования сообщений Office 365. Учетные записи Майкрософт можно использовать со средством просмотра Azure Information Protection и технологией приложений Office 365 "нажми и работай".

      Вот несколько типичных примеров, в которых можно использовать параметр добавления всех аутентифицированных пользователей:

      • Вам не важно, кто просматривает содержимое, но вы хотите ограничить его использование. Например, содержимое нельзя редактировать, копировать или печатать;
      • Вы не хотите ограничивать доступ к содержимому для пользователей, но хотите отслеживать, кто открывает его, и отменить доступ, если потребуется.
      • Вам нужно, чтобы содержимое шифровалось при хранении и при передаче, но управление доступом не требуется.

    • Выберите Ввести сведения, чтобы вручную указать адреса электронной почты для отдельных пользователей или групп (внутренних или внешних). Чтобы указать всех пользователей в другой организации, введите любое доменное имя этой организации. Можно также использовать этот параметр для поставщиков общедоступной электронной почты, используя их доменные имена, например gmail.com, hotmail.com или outlook.com.

      Примечание

      Если адрес электронной почты изменяется после выбора пользователя или группы, см. сведения в разделе Рекомендации по использованию Azure Information Protection при изменении адреса электронной почты документации по планированию.

      Лучше всего использовать группы, а не пользователей. Эта стратегия упрощает конфигурацию и снижает вероятность того, что вам придется обновлять конфигурацию меток и повторно применять защиту для содержимого. Тем не менее, если вы вносите изменения в группу, имейте в виду, что для обеспечения высокой производительности Azure Rights Management кэширует членство в группе.

    Если вы указали первый набор пользователей и групп, выберите разрешения для предоставления этим пользователям и группам. Дополнительные сведения о доступных разрешениях см. в статье о настройке прав на использование для Azure Information Protection. Однако приложения, поддерживающие эту защиту, могут отличаться методом реализации этих разрешений. Ознакомьтесь с соответствующей документацией и выполните собственное тестирование с приложениями, которые пользователи используют для проверки поведения, прежде чем развертывать для них шаблон.

    При необходимости вы можете добавить второй набор пользователей и групп с правами на использование. Повторяйте, пока не укажете всех пользователей и группы с соответствующими разрешениями.

    Совет

    Попробуйте добавить настраиваемое разрешение Сохранить как, экспортировать (экспорт) и предоставьте его администраторам восстановления данных или другим сотрудникам, которые отвечают за восстановление информации. При необходимости эти пользователи могут снять защиту с файлов и писем, которые будут защищены с помощью этой метки или шаблона. Возможность снять защиту на уровне разрешений для документов или писем обеспечивает более точное управление, чем функция суперпользователя.

    Для всех пользователей и групп, указанных в области Защита, следует проверить, нужно ли вносить изменения в следующие параметры. Обратите внимание, что эти параметры, как и разрешения, не применяются к издателю или владельцу Rights Management или любому суперпользователю, которого вы назначили.

    Сведения о параметрах защиты
    Параметр Дополнительные сведения Рекомендуемые параметры
    Срок действия содержимого файла Определите дату или число дней, до наступления которых документы, защищенные этими параметрами, не будут открываться у выбранных пользователей. Для сообщений электронной почты срок действия применяется не всегда из-за механизмов кэширования, которые используют некоторые клиенты электронной почты.

    Вы можете указать дату или количество дней, начиная с момента применения защиты к содержимому.

    Когда вы укажете дату, параметр вступит в силу в полночь в вашем текущем часовом поясе.    		 Срок действия контента не истекает, если содержимое не имеет определенного требования к сроку действия.
    Разрешить автономный доступ Используйте этот параметр, чтобы согласовать требования безопасности (включая доступ после отзыва) с возможностью открывать защищенное содержимое для выбранных пользователей, когда у них нет подключения к Интернету.

    Если указать, что контент недоступен при отсутствии подключения к Интернету или доступен только определенное число дней, при достижении данного порога пользователи должны повторно пройти проверку подлинности, а факт их доступа регистрируется в журнале. После этого, если их учетные данные не кэшируются, пользователям будет предложено войти в систему, прежде чем они смогут открыть документ или письмо.

    В дополнение к повторной аутентификации политика и членство в группе пользователей пересматриваются. Это означает, что при получении доступа к одному документу или письму пользователи могут наблюдать разное поведение, если с момента последнего обращения к содержимому произошли изменения в политике или членстве в группе. Возможно также отсутствие доступа, если документ был отозван.    		 В зависимости от того, насколько конфиденциально содержимое.

    - Количество дней, в течение которых содержимое доступно без подключения к = Интернету 7 для конфиденциальных бизнес-данных, которые могут причинить ущерб бизнесу при совместном доступе с несанкционированными людьми. Эта рекомендация предлагает сбалансированный компромисс между гибкостью и безопасностью. Например, контракты, отчеты о безопасности, сводки прогнозов и данные торговых счетов.

    - Никогда для крайне конфиденциальных бизнес-данных, которые могут нанести ущерб бизнесу в случае раскрытия неавторизованным лицам. В этой рекомендации безопасность получает приоритет над гибкостью и гарантируется, что если документ будет отозван, все авторизованные пользователи немедленно потеряют доступ к нему. Например, информация о сотрудниках и клиентах, пароли, исходный код и предварительно объявленные финансовые отчеты.

    После завершения настройки разрешений и параметров нажмите кнопку ОК.

    Эта группа параметров создает настраиваемый шаблон для службы Azure Rights Management. Эти шаблоны могут использоваться с приложениями и службами, которые интегрируются с Azure Rights Management. Дополнительные сведения о том, как компьютеры и службы скачивают шаблоны и обновляют их, см. в статье Обновление шаблонов для пользователей и служб.

  8. Если вы выбрали значение Выбор предопределенного шаблона для параметра Azure (облачный ключ), щелкните раскрывающийся список и выберите шаблон, который вы хотите использовать для защиты документов и писем с помощью метки. Вы не видите заархивированные шаблоны или шаблоны, которые уже выбраны для другой метки.

    Если вы выберете шаблон отдела или если вы настроили элементы управления подключением:

    • Пользователи, которые находятся за пределами настроенной области действия шаблона, или пользователи, которые не могут использовать защиту Azure Rights Management, все еще видят метку, но не могут ее применить. Если они выбирают метку, они увидят следующее сообщение: Azure Information Protection не может применить эту метку. Если эта проблема не исчезнет, обратитесь к администратору.

      Обратите внимание, что все опубликованные шаблоны всегда отображаются, даже если вы настраиваете политику с областью действия. Например, вы настраиваете политику с областью действия для группы маркетинга. Шаблоны, которые вы можете выбрать, не ограничены шаблонами только для группы маркетинга. Вы можете выбрать шаблон отдела, который выбранные вами пользователи не могут использовать. Чтобы упростить настройку и свести к минимуму устранение неполадок, следует назвать шаблон отдела так же, как и метку в политике с областью действия.

  9. Если вы выбрали HYOK (AD RMS), выберите Set AD RMS templates details (Задать подробности для шаблонов AD RMS) или Задать определенные пользователем разрешения (предварительная версия). Затем укажите URL-адрес лицензирования вашего кластера AD RMS.

    Инструкции по указанию GUID шаблона и URL-адреса лицензирования см. в разделе Поиск информации, указываемой при настройке защиты AD RMS с меткой Azure Information Protection.

    Параметр установки определяемых пользователем разрешений включает возможность указывать, кому должны быть предоставлены разрешения и каковы эти разрешения. Затем вы можете уточнить этот параметр и выбрать только Outlook (по умолчанию), Word, Excel, PowerPoint и проводник. Этот параметр не поддерживается и не работает, когда для метки настроена автоматическая классификация.

    Если выбрать вариант для Outlook: метка отображается в Outlook и результирующее поведение при применении метки совпадает с параметром "Не пересылать".

    Если вы выберете вариант для Word, Excel, PowerPoint и проводника, при установке этого параметра метка будет отображаться в этих приложениях. В результате при применении метки отображается диалоговое окно для выбора настраиваемых разрешений. В этом диалоговом окне пользователи выбирают один из стандартных уровней разрешений, указывают пользователей или группы либо переходят к ним и при необходимости задают дату окончания срока действия. Удостоверьтесь, что у пользователей есть инструкции и руководство по указанию этих значений.

  10. Нажмите кнопку ОК, чтобы закрыть область Защита. Вы увидите выбранный параметр Определяемый пользователем или шаблон для параметра Защита в области Метка.

  11. В области Метка нажмите кнопку Сохранить.

  12. В области Azure Information Protection в столбце Защита проверьте, что теперь метка отображает нужный параметр защиты:

    • Флажок, если вы настроили защиту.

    • Символ "Х", если вы настроили метку для снятия защиты.

    • Пустое поле, если защита не установлена.

После нажатии кнопки Сохранить изменения автоматически становятся доступными пользователям и службам. Больше не существует варианта отдельной публикации.

Примеры конфигураций

Вложенные метки Все сотрудники и Только получатели в метках Конфиденциально и High Confidential (Строго конфиденциально) в политиках по умолчанию предоставляют примеры того, как вы можете настроить метки для защиты. Вы также можете использовать следующие примеры, чтобы настроить защиту для разных сценариев.

Для каждого следующего примера в < области имени >метки выберите "Защитить". Если область Защита не открывается автоматически, выберите Защитить, чтобы открыть эту область. В ней можно настроить параметры защиты:

Configuing an Azure Information Protection label for protection

Пример 1. Метка для применения параметра "Не пересылать", чтобы отправить защищенное письмо в учетную запись Gmail

Эта метка доступна только в Outlook и подходит, когда в Exchange Online настроена поддержка новых возможностей шифрования сообщений в Office 365. Попросите пользователей выбрать эту метку, когда им нужно отправить защищенное письмо людям, использующим учетную запись Gmail (или любую другую учетную запись электронной почты вне вашей организации).

Пользователи должны ввести адрес электронной почты Gmail в поле Кому. Затем после выбора метки параметр "Не пересылать" автоматически добавляется к письму. В результате получатели не могут пересылать сообщение электронной почты или печатать его, копировать из него или сохранять его за пределами почтового ящика с помощью параметра "Сохранить как ".

  1. В области Защита выберите Azure (облачный ключ) .

  2. Выберите Set user-defined permissions (Preview) (Задать определенные пользователем разрешения (предварительная версия)).

  3. Убедитесь, что выбран следующий параметр: В Outlook примените функцию " Не пересылать" .

  4. Если этот флажок установлен, снимите его: Запрашивать настраиваемые разрешения у пользователя в Word, Excel, PowerPoint и в проводнике.

  5. Нажмите кнопку ОК в области Защита, а затем щелкните Сохранить в области Метка.

Пример 2. Метка, предоставляющая доступ только для чтения всем пользователям в другой организации и поддерживающая немедленный отзыв

Эта метка подходит для общего доступа (только для чтения) к документам с очень высоким уровнем конфиденциальности, для просмотра которых всегда требуется подключение к Интернету. Если они будут отозваны, пользователи не смогут просмотреть документ при следующей попытке открыть его.

Эта метка не подходит для писем.

  1. В области Защита выберите Azure (облачный ключ) .

  2. Убедитесь, что выбран параметр Установить разрешения, а затем выберите Добавить разрешения.

  3. В области Добавление разрешений выберите Ввести сведения.

  4. Введите имя домена другой организации, например fabrikam.com. Нажмите кнопку Добавить.

  5. В разделе Выбор разрешений в предопределенных параметрах выберите Читатель, а затем нажмите кнопку ОК.

  6. В области Защита для параметра Разрешить настройку автономного доступа выберите значение Никогда.

  7. Нажмите кнопку ОК в области Защита, а затем щелкните Сохранить в области Метка.

Пример 3. Добавление внешних пользователей к существующей метке, обеспечивающей защиту содержимого

Новые пользователи, которых вы добавите, смогут открывать документы и письма, которые уже были защищены с помощью этой метки. Разрешения, которые вы предоставляете этим пользователям, могут отличаться от разрешений существующих пользователей.

  1. В области Защита выберите Azure (облачный ключ).

  2. Убедитесь, что выбран параметр Установить разрешения, а затем выберите Добавить разрешения.

  3. В области Добавление разрешений выберите Ввести сведения.

  4. Введите адрес электронной почты первого пользователя (или группы), а затем выберите Добавить.

  5. Выберите разрешения для этого пользователя (или группы).

  6. Повторите шаги 4 и 5 для каждого пользователя (или группы), которых вы хотите добавить в эту метку. Нажмите кнопку ОК.

  7. Нажмите кнопку ОК в области Защита, а затем щелкните Сохранить в области Метка.

Пример 4. Метка для защищенного письма, которая поддерживает менее ограничительные разрешения, чем параметр "Не пересылать"

Эта метка не может быть ограничена применением в Outlook, но обеспечивает менее ограничительные элементы управления, чем параметр "Не пересылать". Например, вы хотите, чтобы получатели могли копировать сведения из сообщения электронной почты либо вложения или сохранять и редактировать вложения.

Если нужно указать внешних пользователей, не имеющих учетной записи в Azure AD:

  • Можно использовать метку для адреса электронной почты, если в Exchange Online используются новые возможности шифрования сообщений Office 365.

  • Если вложения Office защищаются автоматически, такие документы можно просматривать в браузере. Чтобы изменить эти документы, скачайте и отредактируйте их с помощью технологии приложений Office 365 "нажми и работай" и учетной записи Майкрософт, в который используется тот же адрес электронной почты. Дополнительные сведения

Примечание

Exchange Online развертывает новый параметр только для шифрования. Этот параметр недоступен для конфигурации меток. Но если вы знаете, кто будет получателем, вы можете использовать этот пример для создания метки, задающей такой же набор прав на использование.

Адреса электронной почты, указываемые в поле Кому, должны быть аналогичны указанным для этой конфигурации метки. Так как пользователи могут принадлежать к группам и иметь более одного адреса электронной почты, указанный ими адрес не должен соответствовать адресу электронной почты, указанному для разрешений. Однако указание одного и того же адреса электронной почты является самым простым способом гарантировать, что получатель будет авторизован. Дополнительные сведения о предоставлении разрешений пользователям см. в статье Подготовка пользователей и групп к использованию в Azure Information Protection.

  1. В области Защита выберите Azure (облачный ключ) .

  2. Убедитесь, что выбран параметр Установить разрешения, а затем выберите Добавить разрешения.

  3. На панели "Добавление разрешений : чтобы предоставить разрешения пользователям в организации", выберите "Добавить <имя> организации" — "Все участники ", чтобы выбрать всех пользователей в клиенте. Этот параметр исключает гостевые учетные записи. Также можно выбрать Обзор каталогов, чтобы выбрать определенную группу. Чтобы предоставить разрешения внешним пользователям (или если вы предпочитаете ввести адрес электронной почты вручную), выберите пункт Ввести сведения и введите адрес электронной почты пользователя или группы Azure AD либо доменное имя.

    Повторите этот шаг, чтобы указать дополнительных пользователей, которые должны иметь одинаковые разрешения.

  4. Для параметра Выбор разрешений в предопределенных параметрах выберите Совладелец, Соавтор, Рецензент или Пользовательский, чтобы выбрать разрешения, которые вы хотите предоставить.

    Примечание. Не выбирайте Читатель для писем, а если вы выберете Пользовательский, убедитесь, что вы включили Изменить и сохранить.

    Чтобы выбрать те же разрешения, которые соответствуют параметру Encrypt из Exchange Online, который применяет шифрование без дополнительных ограничений, выберите "Настраиваемый". Затем выберите все разрешения, кроме следующих: Сохранение как, экспорт (EXPORT) и Полный доступ (OWNER).

  5. Чтобы указать дополнительных пользователей, которые должны иметь разные разрешения, повторите шаги 3 и 4.

  6. Нажмите кнопку ОК в области Добавление разрешений.

  7. Нажмите кнопку ОК в области Защита, а затем щелкните Сохранить в области Метка.

Пример 5. Метка, которая шифрует содержимое, но не ограничивает доступ к нему

Преимущество этой конфигурации заключается в том, что вам не нужно настраивать пользователей, группы или домены, чтобы защитить электронное сообщение или документ. Содержимое по-прежнему будет шифроваться и вы сможете указать права на использование, дату окончания срока действия и режим автономного доступа. Используйте эту конфигурацию только в том случае, если не нужно ограничивать, кто может открывать защищенный документ или письмо. Дополнительные сведения об этом варианте.

  1. В области Защита выберите Azure (облачный ключ).

  2. Убедитесь, что выбран параметр Задать разрешения, а затем щелкните Добавить разрешения.

  3. В области Добавление разрешений на вкладке Сделайте выбор в списке выберите вариант Добавить всех прошедших проверку подлинности пользователей.

  4. Выберите нужные разрешения и щелкните ОК.

  5. Вернитесь в область Защита, настройте параметры Срок действия содержимого файла и Разрешить автономный доступ (если нужно) и нажмите кнопку ОК.

  6. В области Метка выберите Сохранить.

Пример 6. Метка, применяющая защиту "Только для меня"

Эта конфигурация предлагает противоположность безопасной совместной работы для документов: за исключением суперпользования, только пользователь, который применяет метку, может открыть защищенное содержимое без каких-либо ограничений. Такая конфигурация часто называется конфигурацией "только для меня" — в некоторых случаях требуется, чтобы только пользователь, который может сохранить файл где угодно, имел право открывать этот файл.

Конфигурация метки обманчиво проста:

  1. В области Защита выберите Azure (облачный ключ).

  2. Нажмите кнопку ОК без выбора пользователей и настройки параметров в этой области.

    Хотя вы можете настроить параметры для срока действия содержимого файла и разрешить автономный доступ, если не указать пользователей и их разрешения, эти параметры доступа неприменимы. Это потому, что человек, установивший защиту, является издателем Rights Management для содержимого и эта роль исключена из таких ограничений доступа.

  3. В области Метка выберите Сохранить.

Дальнейшие действия

Дополнительные сведения о настройке политики Azure Information Protection можно найти, воспользовавшись ссылками в разделе Настройка политики организации.

Правила потока обработки почты, настроенные для Exchange, могут применять защиту с учетом присвоенных меток. Дополнительные сведения и примеры см. в статье Configuring Exchange Online mail flow rules for Azure Information Protection labels (Настройка правил потока обработки почты в Exchange Online для использования меток Azure Information Protection).