共用方式為

Azure 資訊保護 中數據保護的常見問題

  • 發行項

有關於 Azure 資訊保護 的數據保護服務 Azure Rights Management 的問題嗎? 看看它是否在這裡回答。

檔案是否必須位於雲端中,才能受到 Azure Rights Management 的保護?

不,這是常見的誤解。 Azure Rights Management 服務 (和 Microsoft) 不會在資訊保護程式中看到或儲存您的數據。 除非您明確地將它儲存在 Azure 中,或使用另一個將它儲存在 Azure 中的雲端服務,否則您保護的資訊永遠不會傳送至 Azure 或儲存在 Azure 中。

如需詳細資訊,請參閱 Azure RMS 如何運作?在內幕 下,瞭解建立並儲存在內部部署的秘密可樂公式如何受到 Azure Rights Management 服務的保護,但仍保留在內部部署。

Azure Rights Management 加密與其他 Microsoft 雲端服務中的加密有何差異?

Microsoft 提供多種加密技術,可讓您針對不同且通常互補的案例保護數據。 例如,雖然 Microsoft 365 會針對儲存在 Microsoft 365 中的數據提供待用加密,但 Azure 資訊保護 的 Azure Rights Management 服務會獨立加密您的數據,使其受到保護,無論數據位於何處或傳輸方式為何。

這些加密技術是互補的,而且使用這些技術需要獨立啟用和設定它們。 當您這樣做時,您可以選擇攜帶自己的密鑰進行加密,此案例也稱為“BYOK”。為其中一項技術啟用 BYOK 並不會影響其他技術。 例如,您可以針對 Azure 資訊保護 使用 BYOK,而不將 BYOK 用於其他加密技術,反之亦然。 根據您設定每個服務的加密選項的方式,這些不同技術所使用的金鑰可能相同或不同。

我現在可以搭配使用 BYOK 與 Exchange Online 嗎?

是,您現在可以在遵循在 Azure 資訊保護 之上建置的新 Microsoft 365 訊息加密功能中的指示,搭配 Exchange Online 使用 BYOK。 這些指示可讓 Exchange Online 中的新功能支援使用 BYOK 進行 Azure 資訊保護,以及新的 Office 365 郵件加密。

如需這項變更的詳細資訊,請參閱部落格公告: 具有新功能的 Office 365 郵件加密

RMS 連接器是否有管理元件或類似的監視機制?

雖然 Rights Management 連接器會將資訊、警告和錯誤訊息記錄至事件記錄檔,但是沒有包含監視這些事件的管理元件。 不過,事件清單及其描述,以及協助您採取更正動作的詳細資訊記載於監視 Microsoft Rights Management 連接器

如何? 在 Azure 入口網站 中建立新的自定義範本嗎?

自定義範本已移至 Azure 入口網站,您可以在其中繼續將其管理為範本,或將它們轉換成標籤。 若要建立新的範本,請建立新的標籤,並設定 Azure RMS 的數據保護設定。 實際上,這會建立新的範本,然後由與 Rights Management 範本整合的服務與應用程式存取。

如需 Azure 入口網站 中範本的詳細資訊,請參閱設定和管理 Azure 資訊保護 的範本。

我已保護檔,現在想要變更許可權或新增使用者—我需要重新保護檔嗎?

如果使用標籤或範本來保護檔,就不需要重新保護檔。 修改標籤或範本,方法是變更許可權或新增群組(或使用者),然後儲存這些變更:

  • 當使用者在進行變更之前未存取檔時,只要使用者開啟檔,變更就會生效。

  • 當使用者已經存取檔時,這些變更會在其 使用授權 到期時生效。 只有在您無法等候使用授權到期時,才重新保護檔。 重新保護可有效地建立新版本的檔,因此會為使用者建立新的使用授權。

或者,如果您已經為必要的許可權設定群組,您可以變更群組成員資格以包含或排除使用者,而且不需要變更標籤或範本。 變更生效之前可能會有一些延遲,因為 Azure Rights Management 服務會快取群組成員資格

如果檔是使用自定義許可權保護的,則您無法變更現有檔的許可權。 您必須再次保護檔,並指定此新版檔所需的所有使用者和所有許可權。 若要重新保護受保護的檔,您必須擁有完全控制使用權。

提示:若要檢查檔是否受到範本保護或使用自定義許可權,請使用 Get-AIPFileStatus PowerShell Cmdlet。 您一律會看到自定義許可權限制存取範本描述,其中包含執行 Get-RMSTemplate未顯示的唯一範本標識碼。

我有 Exchange 的混合式部署與 Exchange Online 上的一些使用者,以及 Exchange Server 上的其他使用者—Azure RMS 是否支援此功能?

絕對,最好的是,用戶能夠順暢地保護及取用兩個 Exchange 部署中的受保護電子郵件和附件。 針對此設定, 請啟用 Azure RMS啟用 Exchange Online 的 IRM,然後 部署及設定 Exchange Server 的 RMS 連接器

如果我將此保護用於我的生產環境,我的公司是否會鎖定在解決方案中,或有可能失去我們受 Azure RMS 保護的內容存取權?

否,即使您決定不再使用 Azure Rights Management 服務,您仍會繼續控制您的數據,而且可以繼續存取數據。 如需詳細資訊,請參閱 解除委任和停用 Azure Rights Management

我可以控制哪些使用者可以使用 Azure RMS 來保護內容嗎?

是,Azure Rights Management 服務具有此案例的用戶上線控件。 如需詳細資訊,請參閱從 Azure 資訊保護 啟用保護服務一文中的設定階段式部署的上線控件一節。

我是否可以防止使用者與特定組織共享受保護的檔?

使用 Azure Rights Management 服務進行數據保護的最大優點之一,就是它支援企業對企業共同作業,而不需要為每個合作夥伴組織設定明確的信任,因為 Microsoft Entra ID 會為您處理驗證。

沒有任何系統管理選項可防止使用者安全地與特定組織共享檔。 例如,您想要封鎖不信任或具有競爭業務的組織。 防止 Azure Rights Management 服務將受保護的檔傳送給這些組織中的使用者並無意義,因為您的使用者接著會共用未受保護的檔,這可能是您在此案例中最後想要發生的事。 例如,您無法識別誰正在與這些組織中的用戶共用公司機密檔,您可以在檔(或電子郵件)受到 Azure Rights Management 服務保護時執行此動作。

當我與公司外部的人員共享受保護的檔時,該使用者如何獲得驗證?

根據預設,Azure Rights Management 服務會使用 Microsoft Entra 帳戶和相關聯的電子郵件地址進行用戶驗證,這可讓系統管理員順暢地進行企業對企業共同作業。 如果其他組織使用 Azure 服務,使用者就已經有 Microsoft Entra ID 中的帳戶,即使這些帳戶是在內部部署建立和管理,然後同步處理至 Azure。 如果組織包含 Microsoft 365,則此服務也會針對用戶帳戶使用 Microsoft Entra 識別符。 如果用戶的組織在 Azure 中沒有受控帳戶,用戶可以註冊 個人版 RMS,這會為具有使用者帳戶的組織建立非受控 Azure 租使用者和目錄,讓此使用者(和後續使用者)接著可以針對 Azure Rights Management 服務進行驗證。

這些帳戶的驗證方法可能會因其他組織中的系統管理員設定 Microsoft Entra 帳戶的方式而有所不同。 例如,他們可以使用針對這些帳戶建立的密碼、同盟或 Active Directory 網域服務 中建立的密碼,然後同步處理至 Microsoft Entra ID。

其他驗證方法:

  • 如果您保護具有 Office 檔附件的電子郵件給 Microsoft Entra 識別碼中沒有帳戶的使用者,驗證方法就會變更。 Azure Rights Management 服務會與一些熱門的社交識別提供者同盟,例如 Gmail。 如果支援使用者的電子郵件提供者,使用者可以登入該服務,且其電子郵件提供者負責驗證他們。 如果不支援使用者的電子郵件提供者,或作為喜好設定,使用者可以套用一次性密碼來驗證他們,並在網頁瀏覽器中以受保護的文件顯示電子郵件。

  • Azure 資訊保護 可以針對支援的應用程式使用 Microsoft 帳戶。 目前,並非所有應用程式都可以在 Microsoft 帳戶用於驗證時開啟受保護的內容。 詳細資訊

我是否可以將外部使用者 (我公司以外的人員) 新增至自訂範本?

是。 您可以在 Azure 入口網站 中設定的保護設定,可讓您將許可權新增至組織外部的使用者和群組,甚至是另一個組織中的所有使用者。 您可能會發現參考使用 Azure 資訊保護 保護檔共同作業的逐步範例很有用。

請注意,如果您有 Azure 資訊保護 標籤,您必須先將自定義範本轉換成標籤,才能在 Azure 入口網站 中設定這些保護設定。 如需詳細資訊,請參閱設定和管理 Azure 資訊保護 的範本。

或者,您可以使用 PowerShell 將外部使用者新增至自定義範本(和標籤)。 此組態會要求您使用用來更新樣本的權限定義物件:

  1. 使用 New-AipServiceRightsDefinition Cmdlet 來建立變數,以指定許可權定義物件中的外部電子郵件位址及其許可權。

  2. 使用 Set-AipServiceTemplateProperty Cmdlet,將此變數提供給 RightsDefinition 參數。

    當您將使用者新增至現有的範本時,除了新使用者之外,還必須為範本中的現有使用者定義許可權定義物件。 在此案例中,您可能會發現實用的範例 3:從 Cmdlet 的 [範例] 區段,將新的使用者和許可權新增至自定義範本

我可以搭配 Azure RMS 使用哪種類型的群組?

在大部分情況下,您可以在具有電子郵件位址的 Microsoft Entra ID 中使用任何群組類型。 當您指派許可權時,這個經驗法則一律適用,但管理 Azure Rights Management 服務有一些例外狀況。 如需詳細資訊,請參閱群組帳戶的 Azure 資訊保護 需求。

如何? 將受保護的電子郵件傳送至 Gmail 或 Hotmail 帳戶?

當您使用 Exchange Online 和 Azure Rights Management 服務時,只要將電子郵件傳送給使用者作為受保護的訊息即可。 例如,您可以在 Outlook 網頁版命令行中選取新的 [保護] 按鈕,使用 [Outlook 不要轉寄 ] 按鈕或功能表選項。 或者,您可以選取會自動為您套用 [不要轉寄] 的 Azure 資訊保護 標籤,並分類電子郵件。

收件者會看到登入其 Gmail、Yahoo 或 Microsoft 帳戶的選項,然後他們可以讀取受保護的電子郵件。 或者,他們可以選擇單次密碼的選項,以在瀏覽器中讀取電子郵件。

若要支援此案例,必須針對 Azure Rights Management 服務和 Office 365 郵件加密中的新功能啟用 Exchange Online。 如需此組態的詳細資訊,請參閱 Exchange Online:IRM 組態

如需包含支援所有裝置上所有電子郵件帳戶之新功能的詳細資訊,請參閱下列部落格文章: 宣佈 Office 365 郵件加密中可用的新功能。

Azure RMS 支援哪些裝置和哪些文件類型?

Azure Rights Management 服務可以支援所有文件類型。 對於文字、影像、Microsoft Office (Word、Excel、PowerPoint) 檔案、.pdf檔案和其他一些應用程式文件類型,Azure Rights Management 提供原生保護,包括加密和強制執行許可權(許可權)。 針對所有其他應用程式和檔類型,一般保護會提供檔案封裝和驗證,以驗證使用者是否已獲授權開啟檔案。

如需 Azure Rights Management 原生支援的擴展名清單,請參閱 Azure 資訊保護 用戶端支援的文件類型。 使用會自動將這些檔案套用一般保護的 Azure 資訊保護 用戶端,不支援未列出的擴展名。

當我開啟受 RMS 保護的 Office 檔時,相關聯的臨時檔也會變成 RMS 保護嗎?

否。 在此案例中,相關聯的臨時檔不包含源檔中的數據,而是只會在檔案開啟時輸入的內容。 與源檔不同,暫存盤顯然不是為了共享而設計,而且會保留在裝置上,受到本機安全性控制,例如 BitLocker 和 EFS。

我正在尋找的功能似乎無法與 SharePoint 保護的連結庫搭配使用—是否支援我已規劃的功能?

目前,Microsoft SharePoint 支援受 RMS 保護的檔,方法是使用受 IRM 保護的連結庫,不支援 Rights Management 範本、文件追蹤和其他一些功能。 如需詳細資訊,請參閱 Office 應用程式 lications 和服務一文中的 SharePoint in Microsoft 365 和 SharePoint Server 一節。

如果您對尚未支援的特定功能感興趣,請務必留意 Enterprise Mobility and Security 部落格上的公告。

如何? 在 SharePoint 中設定 One Drive,讓使用者可以安全地與公司內外的人員共用其檔案?

根據預設,身為 Microsoft 365 系統管理員,您不會進行此設定;用戶會這麼做。

就像 SharePoint 網站管理員為自己擁有的 SharePoint 文檔庫啟用和設定 IRM 一樣,OneDrive 是專為使用者所設計,為自己的 OneDrive 文檔庫啟用和設定 IRM。 不過,藉由使用 PowerShell,您可以針對它們執行這項操作。 如需指示,請參閱 Microsoft 365 和 OneDrive 中的 SharePoint:IRM 設定

您是否有任何成功部署的秘訣或訣竅?

在監督許多部署並聆聽我們的客戶、合作夥伴、顧問及支援工程師之後,我們可以從經驗中傳遞的最大秘訣之一: 設計和部署簡單的原則

因為 Azure 資訊保護 支援安全地與任何人共用,因此您可以透過資料保護觸達來達成雄心壯志。 但當您設定許可權使用限制時,請保守。 對於許多組織來說,最大的商務影響是藉由限制存取貴組織中的人員,來防止數據外洩。 當然,如果您需要的話,您可以得到比這更細微得多的粒度–防止人員列印、編輯等。但是,將更細微的限制保留為真正需要高階安全性的文件例外,而且不會在第一天實作這些更嚴格的使用權,而是規劃更分階段的方法。

我們如何重新取得已離開組織的員工所保護的檔案存取權?

使用進階使用者功能,授與完全控制許可權給受租用戶保護之所有文件和電子郵件的授權使用者。 進階使用者一律可以讀取此受保護的內容,如有必要,請移除保護或為不同的使用者重新保護。 這項相同的功能可視需要讓授權的服務編製索引並檢查檔案。

如果您的內容儲存在 SharePoint 或 OneDrive 中,系統管理員可以執行 Unlock-SensitivityLabelEncryptedFile Cmdlet,以移除敏感度標籤和加密。 如需詳細資訊,請參閱 Microsoft 365 檔

Rights Management 是否可以防止螢幕擷取?

藉由未授與複製使用權,Rights Management 可以防止螢幕擷取從 Windows 平臺上的許多常用螢幕擷取工具(Windows 7、Windows 8.1、Windows 10、Windows 10 行動裝置版 和 Windows 11)。 不過,iOS、Mac 和 Android 裝置不允許任何應用程式防止螢幕擷取。 此外,任何裝置上的瀏覽器都無法防止螢幕擷取。 瀏覽器使用包括 Outlook 網頁版和 Office 網頁版。

注意

現在推出至目前通道 (預覽):在 Mac 版 Office、Word、Excel 和 PowerPoint 中,現在不支援 Rights Management 使用權以防止螢幕擷取。

防止螢幕擷取有助於避免意外或疏忽洩漏機密或敏感性資訊。 但是,用戶有許多方式可以共用在螢幕上顯示的數據,而擷取螢幕快照只是一種方法。 例如,使用者想要共享顯示的資訊,可以使用其相機手機拍照、重新輸入數據,或只是口頭轉接給某人。

如這些範例所示範,即使所有平臺和所有軟體都支援 Rights Management API 來封鎖螢幕擷取,技術也不能永遠防止使用者共享他們不應該共享的數據。 Rights Management 可以使用授權和使用原則來協助保護您的重要數據,但此企業版權管理解決方案應該與其他控件搭配使用。 例如,實作實體安全性、仔細篩選及監視有權存取貴組織數據的人員,並投資使用者教育,讓使用者瞭解不應該共用哪些數據。

使用 [不可轉寄] 保護電子郵件的使用者和未包含 [轉寄] 許可權的範本之間有何差異?

儘管其名稱和外觀, 「不要轉 寄」與正向右或範本不相反。 除了限制電子郵件轉寄之外,實際上還有一組許可權,包括限制複製、列印和儲存信箱外的電子郵件。 許可權會透過所選收件者動態套用至使用者,而不是由系統管理員靜態指派。 如需詳細資訊,請參閱設定 Azure 資訊保護 的使用權一節中的電子郵件不要轉寄選項。

Windows Server FCI 與 Azure 資訊保護 掃描器之間的差異為何?

Windows Server 檔案分類基礎結構一直是分類文件,然後使用 Rights Management 連接器(僅限 Office 檔)或 PowerShell 腳本(所有文件類型)來保護文件的選項。

現在建議您使用 Azure 資訊保護 掃描器。 掃描儀會使用 Azure 資訊保護 用戶端和您的 Azure 資訊保護 原則來標記檔(所有文件類型),讓這些文件接著分類並選擇性地受到保護。

這兩個解決方案的主要差異:

Windows Server FCI Azure 資訊保護掃描器
支援的資料存放區 Windows Server 上的本機資料夾 - Windows 檔案共用和網路連接記憶體

- SharePoint Server 2016 和 SharePoint Server 2013。 SharePoint Server 2010 也支援已 擴充此 SharePoint 版本支援的客戶。
操作模式 即時 有系統地編目數據存放區一次或重複
支援的檔案類型 - 預設會保護所有文件類型

- 編輯登錄,即可排除特定文件類型不受保護		 支援檔案型態:

- Office 檔類型和 PDF 文件預設會受到保護

- 編輯登錄可包含其他檔案類型以保護