Azure 信息保护中的有关数据保护的常见问题

是否有关于 Azure 信息保护中数据保护服务 Azure Rights Management 的问题? 请查看此处是否有答案。

是否必须将文件存放在云中才能受 Azure Rights Management 保护?

否,这是一个常见的误解。 在信息保护过程中,Azure Rights Management 服务(和 Microsoft)不查看或存储数据。 要保护的信息永远不会发送或存储到 Azure 中,除非显式将其存储在 Azure 中,或者使用其他可用于在 Azure 中存储数据的云服务。

有关详细信息,请参阅 Azure RMS 的工作原理了解在本地创建并存储的可乐的秘密配方如何受 Azure Rights Management 服务的保护,并始终保存在本地。

Azure Rights Management 加密和其他 Microsoft 云服务中的加密有何区别?

Microsoft 提供了多个加密技术,用于保护数据以满足不同的方案,方案之间通常能够互补。 例如,Microsoft 365 为存储在 Microsoft 365 中的数据提供静态加密,而 Azure 信息保护提供的 Azure Rights Management 服务则独立加密数据,使其获得的保护不受所在位置和传输方式的影响。

这些加密技术相互补充,使用它们需要单独对其进行启用和配置。 这样做时,可以选择自带密钥进行加密,这种情况也称为"BYOK"。为这些技术之一启用 BYOK 不会影响其他技术。 例如,可对 Azure 信息保护使用 BYOK,而对其他加密技术不使用 BYOK;反之亦然。 不同技术所用密钥可为相同或不同,具体取决于为每种服务配置的加密选项。

现在我是否可以结合使用 BYOK 和 Exchange Online?

可以。在按照 Set up new Microsoft 365 Message Encryption capabilities built on top of Azure Information Protection(设置构建在 Azure 信息保护之上的新的 Microsoft 365 邮件加密功能)中的说明进行操作时,现在可以结合使用 BYOK 和 Exchange Online。 这些说明介绍如何启用 Exchange Online 中的新功能,这些功能支持将 BYOK 用于 Azure 信息保护和新的 Office 365 邮件加密。

有关此更改的详细信息,请参阅博客公告:具有新功能的 Office 365 邮件加密

RMS 连接器是否有管理包或类似的监视机制?

虽然 Rights Management 连接器会将信息、警告和错误消息记录到事件日志中,但不提供用于监视这些事件的管理包。 不过,监视 Microsoft Rights Management 连接器中记录了事件及其说明的列表,并提供更多帮助你采取纠正措施的信息。

如何在 Azure 门户中创建新的自定义模板?

自定义模板已移动到 Azure 门户,可以在该门户中继续将其作为模板进行管理,或将其转换为标签。 要创建新模板,请创建新标签并为 Azure RMS 配置数据保护设置。 这会在后台创建一个新模板,集成了 Rights Management 模板的服务和应用程序都可以访问该模板。

有关 Azure 门户中的模板的详细信息,请参阅配置和管理 Azure 信息保护的模板

我已保护一个文档,但现在想要更改使用权限或添加用户,是否需要重新保护该文档?

如果该文档使用的是标签或模板进行保护,则无需重新保护该文档。 通过更改使用权限来修改标签或模板或者添加新组(或用户),然后保存这些更改:

  • 如果用户在你进行更改之前没有访问过该文档,则更改会在他们打开该文档时立即生效。

  • 如果用户已访问过文档,则所做的更改将在他们的使用许可证过期时生效。 只有在等不及使用许可证过期时才需要重新保护文档。 重新保护操作会有效地创建一个新的文档版本,并因此为用户创建新的使用许可证。

或者,如果已为所需权限配置了一个组,则可更改组成员身份以包含或排除用户,而无需更改标签或模板。 更改生效前可能稍有延迟,因为组成员身份由 Azure Rights Management 服务缓存

如果文档通过自定义权限保护,则无法更改现有文档的权限。 必须再次保护文档,并指定这一新的文档版本所需的所有用户和所有使用权限。 若要重新保护受保护的文档,必须具有“完全控制”使用权限。

提示:要检查文档是受模板保护还是受自定义权限保护,请使用 Get-AIPFile​Status PowerShell cmdlet。 如果是自定义权限,则始终能看到访问受限的模板说明,以及运行 Get-RMSTemplate 时不会显示的唯一模板 ID

我对 Exchange 采用混合部署:Exchange Online 上存在一些用户,而其他用户则在 Exchange Server 上。Azure RMS 支持这种部署吗?

绝对支持,而且很棒的是,用户能够在两种 Exchange 部署上无缝保护并使用受保护的电子邮件和附件。 对于此配置,激活 Azure RMS启用适用于 Exchange Online 的 IRM,然后部署并配置适用于 Exchange Server 的 RMS 连接器

如果在我的生产环境中使用该保护,那么我的公司是否就只能使用该解决方案?或者是否存在无法访问由 Azure RMS 进行保护的内容的风险?

不会,可以始终控制并继续访问数据,即使你决定不再使用 Azure Rights Management 服务也是如此。 有关详细信息,请参阅解除 Azure Rights Management 授权和停用 Azure Rights Management

是否可以控制哪些用户能够使用 Azure RMS 来保护内容?

是的,Azure Rights Management 服务具有针对这一应用场景的用户载入控制。 有关详细信息,请参阅激活 Azure 信息保护的保护服务一文中的为分阶段部署配置加入控制机制部分。

是否可以防止用户与特定的组织共享受保护文档?

在数据保护中使用 Azure Rights Management 服务的最大优势之一在于,它支持企业与企业的协作,同时,无需为每个合作伙伴组织配置显式信任关系,因为 Microsoft Entra ID 会代你处理好身份验证。

我们未提供相应的管理选项来防止用户与特定的组织安全共享文档。 例如,你想要阻止某家你不信任的或者竞争的组织。 阻止 Azure Rights Management 服务向这些组织的用户发送受保护文档没有任何意义,因为你的用户之后还是会共享未保护的文档,而这也许是你最不希望发生的事情。 例如,无法识别谁在与这些组织的用户共享公司机密文档,但是,如果文档(或电子邮件)受 Azure Rights Management 服务的保护,则可以识别。

如果我与公司之外的用户共享受保护文档,该用户如何进行身份验证。

默认情况下,Azure Rights Management 服务使用 Microsoft Entra 帐户和关联的电子邮件地址进行用户身份验证,这可以为管理员建立企业到企业的无缝协作。 如果其他组织使用 Azure 服务,用户已有 Microsoft Entra ID 帐户,即使这些帐户是在本地创建和进行管理,然后同步到 Azure。 如果组织具有 Microsoft 365,此服务在后台还会将 Microsoft Entra ID 用于用户帐户。 如果用户的组织在 Azure 中没有托管帐户,用户可以注册个人 RMS,并使用该用户帐户为组织创建非托管的 Azure 租户和目录,以便可以在 Azure Rights Management 服务中对此用户(和后续用户)进行身份验证。

这些帐户的身份验证方法各不相同,具体取决于其他组织中的管理员如何配置 Microsoft Entra 帐户。 例如,他们可以使用为这些帐户、联合身份验证创建的密码,或在 Active Directory 域服务中创建的、然后同步到 Microsoft Entra ID 的密码。

其他身份验证方法:

  • 如果针对在 Microsoft Entra ID 中没有帐户的用户保护含有 Office 文档附件的电子邮件,身份验证方法则会发生改变。 Azure Rights Management 服务会通过一些常用社交标识提供者进行身份验证,例如 Gmail。 如果用户的电子邮件提供商受支持,用户可登录到该服务,其电子邮件提供商负责对其进行身份验证。 如果用户的电子邮件提供商不受支持,或者作为首选项,用户可申请用于对他们进行身份验证的一次性密码,并在 Web 浏览器中显示含有受保护文档的电子邮件。

  • Azure 信息保护可以将 Microsoft 帐户用于支持的应用程序。 目前,并非所有应用程序都可以在使用 Microsoft 帐户进行身份验证时打开受保护的内容。 详细信息

能否将外部用户(公司外部人员)添加到自定义模板?

是。 利用保护设置(可在 Azure 门户中配置),可为组织外的用户和组甚至其他组织中的所有用户添加权限。 你可能会发现引用分步示例,使用 Azure 信息保护保护文档协作很有用。

注意,如果具有 Azure 信息保护标签,必须先将自定义模板转换为标签,然后再在 Azure 门户中配置这些保护设置。 有关详细信息,请参阅配置和管理 Azure 信息保护的模板

此外,也可使用 PowerShell 将外部用户添加到自定义模板和标签。 此配置要求使用权限定义对象(用于更新模板):

  1. 在权限定义对象中指定外部电子邮件地址及其权限,方法是使用 New-AipServiceRightsDefinition cmdlet 创建变量。

  2. 使用 Set-AipServiceTemplateProperty cmdlet 将此变量提供给 RightsDefinition 参数。

    如果将用户添加到现有模板,除新用户以外,还须在模板中为现有用户定义权限定义对象。 对于此方案,建议查看示例部分的“示例 3:将新用户和权限添加到自定义模板”,这可帮助你了解相关 cmdlet

我可以对 Azure RMS 使用什么类型的组?

大多数情况下,可以使用具有电子邮件地址的 Microsoft Entra ID 中的任何组类型。 尽管分配使用权限时此经验法则始终适用,但在管理 Azure Rights Management 服务时存在一些例外。 有关详细信息,请参阅组帐户 Azure 信息保护要求

如何向 Gmail 或 Hotmail 帐户发送受保护的电子邮件?

使用 Exchange Online 和 Azure Rights Management 服务时,必须将电子邮件作为受保护的邮件发送给用户。 例如,可在 Outlook 网页版的命令栏中选择新的“保护”按钮,使用 Outlook“不要转发”按钮或菜单选项。 或者,可选择 Azure 信息保护标签,自动应用“不要转发”功能,并对电子邮件进行分类。

收件人会看见一个登录到他们的 Gmail、Yahoo 或 Microsoft 帐户的选项,然后可以阅读受保护的邮件。 或者,他们可选择一次性密码选项在浏览器中阅读此电子邮件。

若要支持此方案,必须为 Azure Rights Management 服务和 Office 365 邮件加密中的新功能启用 Exchange Online。 有关此配置的详细信息,请参阅 Exchange Online:IRM 配置

若要详细了解新功能(包括在所有设备上支持所有电子邮件帐户),请参阅以下博客文章:Announcing new capabilities available in Office 365 Message Encryption(宣布在 Office 365 邮件加密中推出新功能)。

Azure RMS 支持哪些设备和哪种文件类型?

Azure Rights Management 服务支持所有文件类型。 对于文字、图像、Microsoft Office(Word、Excel、PowerPoint)文件、.pdf 文件和一些其他应用程序文件类型,Azure Rights Management 提供的本地保护包括对权利(权限)的加密和执行。 对于其他应用程序和文件类型,通用保护提供文件封装和验证以确认用户是否授权打开文件。

有关 Azure Rights Management 本机支持的文件扩展名列表,请参阅 Azure 信息保护客户端支持的文件类型。 Azure 信息保护客户端支持未列出的文件扩展名,该客户端可自动对这些文件应用常规保护。

当我打开受 RMS 保护的 Office 文档时,关联的临时文件是否也将受 RMS 保护?

不是。 在此方案中,关联的临时文件不包含原始文档中的数据,而仅包含该文件打开时用户输入的内容。 与原始文件不同,临时文件明显不适合共享,将保留在设备上,受本地安全控件(例如 BitLocker 和 EFS)保护。

我正在寻找的一项功能看起来不适用于 SharePoint 保护的库。是否计划了针对此功能的支持?

目前,Microsoft SharePoint 通过使用受 IRM 保护的库来支持受 RMS 保护的文档,但是该库不支持 Rights Management 模板、文档跟踪和一些其他功能。 有关详细信息,请参阅 Office 应用程序和服务一文中的 Microsoft 365 中的 SharePoint 和 SharePoint Server 部分。

如果对尚不支持的某项特定功能感兴趣,请务必关注 Enterprise Mobility and Security Blog(企业移动性和安全性博客)上的公告。

如何在 SharePoint 中配置 OneDrive,以便用户可以安全地与公司内外的人员共享他们的文件?

默认情况下,Microsoft 365 管理员不用执行此配置,用户会进行配置。

正如 SharePoint 站点管理员为其拥有的 SharePoint 库启用并配置 IRM 一样,根据 OneDrive 的设计,用户也需要为自己的 OneDrive 库启用并配置 IRM。 不过,可以使用 PowerShell 为他们执行此类操作。 有关说明,请参阅 Microsoft 365 中的 SharePoint 和 OneDrive:IRM 配置

对于成功部署,是否有任何提示或窍门?

在考察大量的部署并聆听客户、合作伙伴、顾问和支持工程师的意见后,结合自身的经验,我们很乐意与你分享下面这个极其有效的诀窍:设计并部署简单策略

由于 Azure 信息保护支持与任何人安全共享,因此,你完全有理由相信自己的数据保护措施的覆盖面。 但是在配置权限使用限制时请保守一点。 对许多组织而言,最大的业务影响来自于通过将访问权限限制为组织内部人员的方式来防止数据泄露。 当然,可以根据需要采取粒度级比这高得多的措施(例如,防止人员打印、编辑,等等)。但是,对于确实需要高级安全性的文档,将更高粒度级的限制保留为例外措施,并且不要一开始就实施这些限制性更强的使用权限,而应计划采取分阶段的实施方案。

我们如何重新获取对由已离职员工保护的文件的访问权限?

请使用超级用户功能,对于受租户保护的所有文档和电子邮件,此功能会向授权用户授予完全控制使用权限。 超级用户可始终阅读此受保护的内容,并可根据需要移除保护或针对不同的用户进行重新保护。 根据需要,此相同功能可以让授权服务编写文件索引和检查文件。

如果内容存储在 SharePoint 或 OneDrive 中,则管理员可以运行 Unlock-SensitivityLabelEncryptedFile cmdlet,以删除敏感度标签和加密。 有关详细信息,请参阅 Microsoft 365 文档

Rights Management 可以防止屏幕截图吗?

通过不授予复制使用权限,Rights Management 可以防止屏幕捕获来自 Windows 平台上许多常用屏幕捕获工具(Windows 7、Windows 8.1、Windows 10、Windows 10 移动版和 Windows 11)。 但是,iOS、Mac 和 Android 设备不允许任何应用阻止屏幕捕获。 此外,任何设备上的浏览器也都不能阻止屏幕截图。 浏览器使用包括 Outlook 网页版和 Office Web 版的使用。

注意

现在滚动升级到当前通道(预览版):在 Office for Mac、Word、Excel 和 PowerPoint(非 Outlook)中,现在支持权限管理权限以防止屏幕截图。

阻止屏幕捕获可帮助避免意外或疏忽披露机密或敏感信息。 不过,用户可以通过多种方式来共享显示在屏幕上的数据,进行屏幕截图只是其中一种方法。 例如,如果想要共享所显示的信息,用户可以使用带相机的手机拍照,可以重新键入相关数据,还可以直接通过口头方式将其传达给某人。

如这些例子所示,即使支持 Rights Management API 的所有平台和所有软件都阻止屏幕捕获,仅靠技术并非始终能够阻止用户共享他们不应该共享的数据。 Rights Management 可以通过授权和使用策略来确保重要数据的安全性,但在使用此企业权限管理解决方案时还应加入其他控制手段。 例如,可以实施物理安全措施,可以仔细盘查和监视有权访问组织数据的人员,还可以进行用户教育,让用户了解哪些数据是不应共享的。

用户通过“不得转发”和不包括“转发”权限的模板来保护电子邮件有什么区别?

除名称和外观外,“不转发”既不是“转发”权限的相反权限,也不是模板。 它实际上是一组权限,包括限制复制、输出以及在邮箱外部保存电子邮件,并限制转发电子邮件。 这些权限通过所选收件人动态应用于用户,而不由管理员静态分配。 有关详细信息,请参阅为 Azure 信息保护配置使用权限中的电子邮件的“不得转发”选项部分。

Windows Server FCI 和 Azure 信息保护扫描程序有何区别?

Windows Server 文件分类基础结构在过去一直都有一个选项:对文档进行分类,然后使用 Rights Management 连接器(仅 Office 文档)或 PowerShell 脚本(所有文件类型)保护文档。

我们现在建议你使用 Azure 信息保护扫描程序。 扫描程序使用 Azure 信息保护客户端和 Azure 信息保护策略来为文档(所有文件类型)添加标签,然后可以对这些文档进行分类并且还可根据需要保护文档。

这两种解决方案的主要差异是:

Windows Server FCI Azure 信息保护扫描程序
支持的数据存储 Windows Server 上的本地文件夹 - Windows 文件共享和网络连接存储

- SharePoint Server 2016 和 SharePoint Server 2013。 对于具有对此版本 SharePoint 的延长支持的客户,还支持 SharePoint Server 2010。
操作模式 真实数据 系统地对数据存储进行一次爬网或重复爬网
支持的文件类型 - 默认情况下,所有文件类型都受到保护

- 通过编辑注册表,可以从保护配置中排除特定文件类型
支持的文件类型:

- 默认情况下,Office 文件类型和 PDF 文档都受到保护

- 通过编辑注册表,可以将其他文件类型纳入保护