Azure 資訊保護 中資料保護的常見問題

對於 Azure 資訊保護 的資料保護服務 Azure 版權管理有任何疑問嗎? 請在這裡查看是否已解答。

檔案是否必須位於雲端,才能受到 Azure 版權管理的保護?

否,這是常見的錯誤觀念。 Azure 版權管理服務 (和 Microsoft) 在資訊保護程式中看不到或儲存您的資料。 除非您明確地將它儲存在 Azure 中,或使用另一個儲存在 Azure 中的雲端服務,否則您保護的資訊永遠不會傳送至 Azure 或儲存在 Azure 中。

如需詳細資訊,請參閱 Azure RMS 如何運作?若 要瞭解在內部部署建立和儲存之私人公式如何受到 Azure 版權管理服務保護,但仍維持在內部部署狀態,

其他 Microsoft 雲端服務中的 Azure 版權管理加密與加密有何不同?

Microsoft 提供多種加密技術,可讓您針對不同且通常互補的情境來保護您的資料。 例如,Microsoft 365提供儲存在 Microsoft 365 中之資料的加密,但 Azure 的 Azure 版權管理服務資訊保護獨立加密您的資料,無論資料位於何處或傳輸方式為何,都會受到保護。

這些加密技術是互補的,需要單獨啟用和設定。 當您這麼做時,您可以選擇自行提供加密金鑰,這個案例也稱為「BYOK」。啟用其中一項技術的 BYOK 並不會影響其他技術。 例如,您可以將 BYOK 用於 Azure 資訊保護,而非將 BYOK 用於其他加密技術,反之亦然。 這些不同技術所使用的金鑰可能相同或不同,這取決於您為每個服務設定加密選項的方式。

我現在可以使用 BYOK 搭配Exchange Online嗎?

是的,當您依照在Azure 資訊保護 上建置的新Microsoft 365郵件加密功能中的指示操作時,您現在可以將 BYOK 與Exchange Online搭配使用。 這些指示可在Exchange Online中啟用支援使用 BYOK for Azure 資訊保護的新功能,以及新Office 365郵件加密。

如需此變更的詳細資訊,請參閱部落格公告:使用新功能Office 365郵件加密

哪裡可以找到與 Azure RMS 整合的協力廠商解決方案相關資訊?

許多軟體廠商已經有解決方案,或正在實作與 Azure 版權管理整合的解決方案,而且清單正在快速成長。 您可能會發現檢查 受 RMS 啟發的應用程式 清單並從 Twitter 上的 Microsoft Mobility@MSFTMobility 取得最新更新很有用。 您可以在 Azure 資訊保護Yammer網站上張貼任何特定的整合問題。

RMS 連接器是否有管理套件或類似的監視機制?

雖然版權管理連接器會將資訊、警告和錯誤訊息記錄到事件記錄檔,但是沒有包含監控這些事件的管理套件。 不過,Microsoft Rights Management 連接器中會記錄事件清單及其描述,以及可協助您採取矯正動作的詳細資訊。

如何?在Azure 入口網站中建立新的自訂範本?

自訂範本已移至Azure 入口網站,您可以在其中繼續以範本的方式管理範本,或將其轉換為標籤。 若要建立新的範本,請建立新的標籤,並設定 Azure RMS 的資料保護設定。 在保護蓋底下,這會建立新的範本,然後由與版權管理範本整合的服務和應用程式存取。

如需Azure 入口網站中範本的詳細資訊,請參閱設定和管理 Azure 資訊保護 範本

我已保護檔,現在想要變更使用權或新增使用者—我需要重新保護檔嗎?

如果檔是使用標籤或範本來保護,就不需要重新保護檔。 修改標籤或範本,方法是變更使用權,或新增群組 (或使用者) ,然後儲存這些變更:

  • 當使用者尚未在您進行變更之前存取檔時,變更會在使用者開啟檔時立即生效。

  • 當使用者已存取檔時,這些變更會在其 使用授權 到期時生效。 只有在您無法等待使用授權到期時才重新保護檔。 重新保護可有效建立新版本的檔,因此為使用者建立新的使用授權。

或者,如果您已經針對所需的許可權設定群組,您可以變更群組成員資格以包含或排除使用者,而且不需要變更標籤或範本。 由於 Azure 版權管理服務會 快取 群組成員資格,因此變更生效前可能會發生一些小的延遲。

如果檔是使用自訂許可權來保護,您就無法變更現有檔的許可權。 您必須再次保護檔,並指定此新版檔所需的所有使用者和所有使用權。 若要重新保護受保護的檔,您必須擁有完全控制許可權。

提示:若要檢查檔是否受到範本保護,還是使用自訂許可權,請使用 Get-AIPFileStatus PowerShell Cmdlet。 您總是會看到自訂許可權的 [ 限制存取 ] 範本描述,其中包含當您執行 Get-RMSTemplate時不會顯示的唯一範本識別碼。

我與某些使用者在 Exchange Online 和在 Exchange Server 上進行混合式Exchange部署, Azure RMS 是否支援此功能?

當然,還有一個好消息是,使用者能夠在兩個Exchange部署中順暢地保護和取用受保護的電子郵件和附件。 針對此設定,請啟用 Azure RMS啟用 Exchange Online 的 IRM,然後部署並設定 Exchange Server 的 RMS 連接器

如果我針對生產環境使用此保護,我的公司是否會被鎖定在解決方案中,或有可能無法存取我們使用 Azure RMS 保護的內容?

否,即使您決定不再使用 Azure 版權管理服務,您仍可持續控制您的資料並繼續存取資料。 如需詳細資訊,請參閱 解除委任和停用 Azure 版權管理

我可以控制哪些使用者可以使用 Azure RMS 來保護內容嗎?

是的,Azure 版權管理服務針對此案例提供使用者上線控制。 如需詳細資訊,請參閱從 Azure 啟用保護服務一文中的設定分階段部署的上線控制項一節資訊保護。

我可以防止使用者與特定組織共用受保護的檔嗎?

將 Azure 版權管理服務用於資料保護的最大優點之一,就是它支援企業對企業的共同作業,而不需要為每個合作夥伴組織設定明確的信任,因為Azure AD為您處理驗證。

沒有系統管理選項可防止使用者安全地與特定組織共用文件。 例如,您想要封鎖您不信任或業務相互競爭的組織。 防止 Azure 版權管理服務傳送受保護的檔給這些組織中的使用者是沒有意義的,因為您的使用者會在未受保護的情況下共用文件,這可能是您要在此案例中進行的最後一件事。 例如,您將無法識別誰正在與這些組織中的使用者共用公司機密檔,當檔 (或電子郵件) 受到 Azure 版權管理服務保護時,您就可以這麼做。

當我與公司外部人員共用受保護的檔時,該使用者如何進行驗證?

根據預設,Azure 版權管理服務會使用Azure Active Directory帳戶和相關聯的電子郵件地址來進行使用者驗證,讓系統管理員能夠順暢地進行企業對企業的共同作業。 如果其他組織使用 Azure 服務,使用者在Azure Active Directory中已經有帳戶,即使這些帳戶是在內部部署建立和管理,然後同步處理到 Azure 也一樣。 如果組織有Microsoft 365,則此服務也適用于使用者帳戶Azure Active Directory。 如果使用者的組織在 Azure 中沒有受管理的帳戶,使用者可以 為個人註冊 RMS,這會為組織建立一個未受管理的 Azure 租使用者和目錄,並為組織建立使用者帳戶,這樣這個使用者 (和後續的使用者) 就可以為 Azure 版權管理服務進行驗證。

這些帳戶的驗證方法可能會根據其他組織的系統管理員設定Azure Active Directory帳戶的方式而有所不同。 例如,他們可以使用這些在 Active Directory 網域服務 中建立,然後同步處理至Azure Active Directory的帳戶、同盟或密碼所建立的密碼。

其他驗證方法:

  • 如果您為在Azure AD中沒有帳戶的使用者保護含有Office檔附件的電子郵件,驗證方法會隨之變更。 Azure 版權管理服務已與 Gmail 等一些熱門的社交身分識別提供者同盟。 如果支援使用者的電子郵件提供者,使用者可以登入該服務,而其電子郵件提供者則負責驗證。 如果使用者的電子郵件提供者不受支援,或依喜好設定,使用者可以套用一次性密碼來驗證密碼,並在網頁瀏覽器中使用受保護的檔顯示電子郵件。

  • Azure 資訊保護可以將 Microsoft 帳戶用於支援的應用程式。 目前,並非所有應用程式都可以在使用 Microsoft 帳戶進行驗證時開啟受保護的內容。 詳細資訊

我可以新增外部使用者 (公司外部人員) 自訂範本嗎?

是的。 您可以在Azure 入口網站中設定的保護設定,可讓您新增許可權給組織外部的使用者和群組,甚至是其他組織中的所有使用者。 您可能會發現參考使用 Azure 資訊保護保護檔共同作業的逐步範例很有用。

請注意,如果您有 Azure 資訊保護標籤,您必須先將自訂範本轉換為標籤,才能在Azure 入口網站中設定這些保護設定。 如需詳細資訊,請參閱設定和管理 Azure 資訊保護範本

或者,您可以使用 PowerShell 將外部使用者新增至自訂範本 (和標籤) 。 此設定要求您使用您用來更新範本的權利定義物件:

  1. 使用 New-AipServiceRightsDefinition Cmdlet 建立變數,在權利定義物件中指定外部電子郵件地址及其權利。

  2. 使用 Set-AipServiceTemplateProperty Cmdlet 提供此變數給 RightsDefinition 參數。

    當您新增使用者至現有範本時,除了新使用者之外,您還必須定義範本中現有使用者的版權定義物件。 在此案例中,您可能會發現實用的範例 3:從 Cmdlet 的 [範例] 區段將新的使用者和許可權新增至自訂範本

我可以搭配 Azure RMS 使用哪種類型的群組?

在大部分情況下,您可以在Azure AD中使用具有電子郵件地址的任何群組類型。 當您指派使用權,但管理 Azure 版權管理服務有一些例外狀況時,一律會套用此經驗法。 如需詳細資訊,請參閱Azure 資訊保護群組帳戶的需求

如何?傳送受保護的電子郵件到 Gmail 或 Hotmail 帳戶嗎?

當您使用 Exchange Online 和 Azure 版權管理服務時,只要將電子郵件以受保護的訊息傳送給使用者即可。 例如,您可以在網路上Outlook命令列中選取新的 [保護] 按鈕,使用 [Outlook [請勿轉寄]按鈕或功能表選項。 或者,您可以選取 Azure 資訊保護標籤,該標籤會自動為您套用「不要轉寄」,並將電子郵件分類。

收件者會看到登入其 Gmail、Yahoo 或 Microsoft 帳戶的選項,然後他們可以讀取受保護的電子郵件。 或者,他們可以選擇一次性密碼在瀏覽器中讀取電子郵件的選項。

若要支援此案例,Exchange Online必須啟用 Azure 版權管理服務和Office 365郵件加密中的新功能。 如需有關此設定的詳細資訊,請參閱Exchange Online:IRM 設定

如需包含支援所有裝置上所有電子郵件帳戶之新功能的詳細資訊,請參閱下列部落格文章:宣佈Office 365郵件加密中提供的新功能

Azure RMS 支援哪些裝置和哪些檔案類型?

如需支援 Azure 版權管理服務的裝置清單,請參閱 支援 Azure 版權管理資料保護的用戶端裝置。 由於並非所有支援的裝置目前都可以支援所有版權管理功能,因此也請務必檢查 RMS 照明應用程式的資料表。

Azure 版權管理服務可以支援所有檔案類型。 針對文字、影像、Microsoft Office (Word、Excel、PowerPoint) 檔案、.pdf檔案及其他一些應用程式檔案類型,Azure 版權管理提供原生保護,包括加密和強制執行 (許可權) 。 對於所有其他應用程式和檔案類型,一般保護會提供檔案封裝和驗證,以驗證使用者是否已獲授權開啟檔案。

如需 Azure 版權管理原生支援的檔案名副檔名清單,請參閱Azure 資訊保護用戶端支援的檔案類型。 系統會使用 Azure 資訊保護用戶端,自動將一般保護套用至這些檔案,以支援未列出的副檔名。

當我開啟受 RMS 保護的Office檔時,相關聯的暫存檔案也會變成受 RMS 保護的檔案嗎?

不。 在此案例中,相關聯的暫存檔案不包含原始檔案中的資料,而是只包含使用者在檔案開啟時輸入的內容。 與原始檔案不同的是,暫存檔案可能不是專為共用而設計,而且會保留在裝置上,受 BitLocker 和 EFS 等本機安全性控制項保護。

我正在尋找的功能似乎無法與SharePoint受保護的文件庫搭配使用—我已計畫支援我的功能嗎?

目前,Microsoft SharePoint使用受 IRM 保護的文件庫來支援受 RMS 保護的檔,而此文件庫不支援版權管理範本、檔追蹤及其他一些功能。 如需詳細資訊,請參閱 SharePoint Office應用程式與服務一文Microsoft 365中的 與 SharePoint Server一節。

如果您對尚未支援的特定功能感興趣,請務必留意Enterprise行動和安全性部落格上的公告。

如何?在 SharePoint 中設定 One Drive,讓使用者可以安全地與公司內外的人員共用他們的檔案?

根據預設,身為Microsoft 365系統管理員,您不會設定此設定;使用者會這麼做。

就像SharePoint網站系統管理員為他們擁有的SharePoint文件庫啟用和設定 IRM 一樣,OneDrive是專為使用者為自己的OneDrive庫啟用和設定 IRM 所設計。 不過,您可以使用 PowerShell 為他們執行此動作。 如需相關指示,請參閱Microsoft 365和OneDrive中的SharePoint:IRM 設定

您是否有任何秘訣或訣竅可讓您順利部署?

在監督許多部署並聆聽客戶、合作夥伴、顧問和支援工程師的意見之後,我們可以從經驗中傳遞其中一個最大的秘訣: 設計和部署簡單的原則

由於 Azure 資訊保護支援安全地與任何人共用,因此您能夠積極運用資料保護。 但是在您設定權利使用限制時,請成為一個保守人士。 對許多組織來說,最大的業務影響來自于限制組織中人員的存取權來防止資料外泄。 當然,如果需要的話,您可以取得比這更細部的功能,防止其他人列印、編輯等等。但是,對於真正需要高層級安全性的檔,請將更細分的限制保持為例外,並且不要在第一天實作這些更嚴格的使用許可權,但規劃更分階段的方法。

我們如何重新取得已離開組織之員工所保護之檔案的存取權?

使用 超級使用者功能,此功能會將受租使用者保護之所有檔和電子郵件的「完全控制」使用權授予授權使用者。 超級使用者隨時都可以閱讀此受保護的內容,並視需要移除保護,或為不同的使用者進行重新保護。 此相同的功能可讓授權服務視需要編制索引和檢查檔案。

如果您的內容是儲存在 SharePoint 或OneDrive中,系統管理員可以執行Unlock-SensitivityLabelEncryptedFile Cmdlet,以移除敏感度標籤和加密。 如需詳細資訊,請參閱Microsoft 365檔

版權管理是否能防止螢幕擷取?

透過未授與複製許可權,版權管理可以防止螢幕擷取來自Windows平臺上許多常用的螢幕擷取工具, (Windows 7、Windows 8.1、Windows 10、Windows 10 行動裝置版 和Windows 11) 。 不過,iOS、Mac 和 Android 裝置不允許任何應用程式來防止螢幕擷取。 此外,任何裝置上的瀏覽器都無法防止螢幕擷取。 瀏覽器使用包括Outlook 網頁版和Office 網頁版。

注意

現在推出至目前通道 (預覽版) :在 Mac 版 Office、Word、Excel 和 PowerPoint (中,但不Outlook) 現在支援防止螢幕擷取的版權管理使用權。

防止螢幕擷取有助於避免機密資訊意外或不小心洩漏。 但是,有許多方式可以讓使用者共用顯示在螢幕上的資料,而擷取螢幕擷取畫面只是一種方法。 例如,想要共用顯示資訊的使用者可以使用其相機手機拍攝該資訊的相片、重新輸入資料,或只是以口頭方式將它轉送給某人。

正如這些範例所示,即使所有平臺和所有軟體都支援封鎖螢幕擷取的版權管理 API,只有技術無法一律防止使用者共用不應共用的資料。 版權管理可以使用授權與使用原則來協助保護您的重要資料,但這個企業版權管理解決方案應該與其他控制措施搭配使用。 例如,實作實體安全性、仔細的螢幕和監視有權存取貴組織資料的人員,並投資在使用者教育上,讓使用者瞭解哪些資料不應共用。

使用「不要轉寄」保護電子郵件的使用者與不含轉寄右側的範本之間有何不同?

儘管名稱和外觀, 但「不要轉寄 」並未與轉寄右側或範本相反。 除了限制電子郵件轉寄之外,這實際上是一組權利,包括限制複製、列印及將電子郵件儲存到信箱之外。 權利會透過所選的收件者動態套用至使用者,而非由系統管理員以靜態方式指派。 如需詳細資訊,請參閱設定Azure 資訊保護使用權的電子郵件選項一節。

Windows Server FCI 和 Azure 資訊保護掃描器之間的差異為何?

Windows伺服器檔案分類基礎結構歷來是將檔分類,然後使用版權管理連接器 (Office僅) 檔或PowerShell 腳本 (所有檔案類型) 來進行分類並保護檔的選項。

我們現在建議您使用Azure 資訊保護掃描器。 掃描器會使用 Azure 資訊保護用戶端和您的 Azure 資訊保護原則,將檔標籤 (所有檔案類型) ,讓這些檔接著分類並選擇性地受到保護。

這兩種解決方案的主要差異:

Windows Server FCI Azure 資訊保護掃描器
支援的資料存放區 Windows Server 上的本機資料夾 - Windows檔案共用和網路附加儲存空間

- SharePoint Server 2016 和 SharePoint Server 2013。 SharePoint Server 2010 也支援此版本SharePoint的延伸支援客戶。
操作模式 即時 系統化地編目資料存放區一次或重複
支援的檔案類型 - 根據預設,所有檔案類型都會受到保護

- 您可以編輯登錄,排除特定檔案類型不受保護
支援檔案類型:

- Office檔案類型和 PDF 檔預設為受保護

- 您可以編輯登錄來包含其他檔案類型以進行保護