Nejčastější dotazy ohledně ochrany dat v Azure Information ProtectionFrequently asked questions about data protection in Azure Information Protection

*Platí pro: Azure Information Protection, Office 365**Applies to: Azure Information Protection, Office 365*

*Důležité pro: AIP jednotného značení klienta a klasického klienta.*Relevant for: AIP unified labeling client and classic client. Další informace najdete v tématu i Nejčastější dotazy pro klasického klienta. *For more information, see also the FAQs for the classic client only.*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Máte dotazy ohledně služby ochrany dat Azure Rights Management (Azure RMS), součásti Azure Information Protection?Have a question about the data protection service, Azure Rights Management, from Azure Information Protection? Podívejte se, jestli tu nejsou zodpovězené.See if it's answered here.

Musí být soubory v cloudu, aby byly chráněné službou Azure Rights Management?Do files have to be in the cloud to be protected by Azure Rights Management?

Ne, je to běžná mylná představa.No, this is a common misconception. Služba Azure Rights Management (ani Microsoft) nesleduje ani neukládá vaše data v rámci procesu ochrany informací.The Azure Rights Management service (and Microsoft) does not see or store your data as part of the information protection process. Informace, který chcete chránit, se nikdy neodesílají ani neukládají v Azure, pokud je výslovně v Azure neuložíte nebo nepoužijete jinou cloudovou službu, která je uloží v Azure.Information that you protect is never sent to or stored in Azure unless you explicitly store it in Azure or use another cloud service that stores it in Azure.

Další informace najdete v tématu jak Azure RMS fungovat? V rámci digestoře zjistíte, jak je Coly vzorec, který je vytvořený a uložený místně, chráněný službou Azure Rights Management, ale zůstává v místním prostředí.For more information, see How does Azure RMS work? Under the hood to understand how a secret cola formula that is created and stored on-premises is protected by the Azure Rights Management service but remains on-premises.

Jaký je rozdíl mezi šifrováním Azure Rights Management a šifrováním v jiných cloudových službách Microsoftu?What's the difference between Azure Rights Management encryption and encryption in other Microsoft cloud services?

Microsoft poskytuje několik technologií šifrování, které umožňují chránit data v různých scénářích, které se často doplňují.Microsoft provides multiple encryption technologies that enable you to protect your data for different, and often complementary scenarios. Například když Microsoft 365 nabízí místní šifrování pro data uložená v Microsoft 365, služba Azure Rights Management od Azure Information Protection nezávisle šifruje vaše data, aby byla chráněna bez ohledu na to, kde se nachází nebo jak se přenáší.For example, while Microsoft 365 offers encryption at-rest for data stored in Microsoft 365, the Azure Rights Management service from Azure Information Protection independently encrypts your data so that it is protected regardless of where it is located or how it is transmitted.

Tyto technologie šifrování se doplňují a jejich používání vyžaduje, aby se povolily a nakonfigurovaly nezávisle.These encryption technologies are complementary and using them requires enabling and configuring them independently. Když to uděláte, může být pro vás dostupná možnost přinést si vlastní klíč, tedy scénář označovaný také jako BYOK.When you do so, you might have the option to bring your own key for the encryption, a scenario also known as "BYOK." Povolení BYOK pro jednu z těchto technologií nemá vliv na ostatní.Enabling BYOK for one of these technologies does not affect the others. Můžete například používat BYOK pro Azure Information Protection a pro jiné technologie šifrování ne, nebo naopak.For example, you can use BYOK for Azure Information Protection and not use BYOK for other encryption technologies, and vice versa. Klíče, které používají tyto různé technologie, můžou být stejné nebo různé v závislosti na tom, jak pro každou službu nakonfigurujete možnosti šifrování.The keys used by these different technologies might be the same or different, depending on how you configure the encryption options for each service.

Můžu teď použít BYOK s Exchange Online?Can I now use BYOK with Exchange Online?

Ano, BYOK teď můžete používat s Exchange Online, když budete postupovat podle pokynů v části nastavení nových možností šifrování zpráv Microsoft 365, které jsou postavené na Azure Information Protection.Yes, you can now use BYOK with Exchange Online when you follow the instructions in Set up new Microsoft 365 Message Encryption capabilities built on top of Azure Information Protection. Tyto pokyny umožňují nové funkce v Exchangi Online, které podporují použití BYOK pro Azure Information Protection, a také nové šifrování zpráv Office 365.These instructions enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection, as well as the new Office 365 Message Encryption.

Další informace o této změně najdete v oznámení blogu: šifrování zpráv Office 365 s novými funkcemiFor more information about this change, see the blog announcement: Office 365 Message Encryption with the new capabilities

Kde najdu informace o řešeních jiných výrobců, která se integrují s Azure RMS?Where can I find information about third-party solutions that integrate with Azure RMS?

Mnoho dodavatelů softwaru již má nebo implementuje řešení, která se integrují s Azure Rights Management, a jejich seznam rychle roste.Many software vendors already have solutions or are implementing solutions that integrate with Azure Rights Management—and the list is growing rapidly. Může být užitečné, abyste zkontrolovali seznam aplikací RMS-podporou a získali nejnovější aktualizace od Microsoftu Mobility@MSFTMobility na Twitteru.You might find it useful to check the RMS-enlightened applications lists and get the latest updates from Microsoft Mobility@MSFTMobility on Twitter. Na Azure Information Protection webu Yammermůžete publikovat jakékoli konkrétní otázky týkající se integrace.You can and post any specific integration questions on the Azure Information Protection Yammer site.

Je pro RMS Connector dostupná sada Management Pack nebo podobný monitorovací mechanismus?Is there a management pack or similar monitoring mechanism for the RMS connector?

I když konektor Rights Management zapisuje informace, upozornění a chybové zprávy do protokolu událostí, není Management Pack, která zahrnuje monitorování těchto událostí.Although the Rights Management connector logs information, warning, and error messages to the event log, there isn't a management pack that includes monitoring for these events. Seznam událostí, jejich popis a další informace, které vám umožní provádět opravné akce, jsou uvedené v tématu Monitorování služby Azure Rights Management Connector.However, the list of events and their descriptions, with more information to help you take corrective action is documented in Monitor the Azure Rights Management connector.

Postup vytvoření nové vlastní šablony na portálu Azure PortalHow do I create a new custom template in the Azure portal?

Vlastní šablony se přesunuly do Azure Portal, kde je můžete dál spravovat jako šablony, nebo je převést na štítky.Custom templates have moved to the Azure portal where you can continue to manage them as templates, or convert them to labels. Pokud chcete vytvořit novou šablonu, vytvořte nový popisek a nakonfigurujte nastavení ochrany dat pro službu Azure RMS.To create a new template, create a new label and configure the data protection settings for Azure RMS. Skrytě se tím vytvoří nová šablona, ke které se dostanete pomocí služeb a aplikací integrovaných se šablonami služby Rights Management.Under the covers, this creates a new template that can then be accessed by services and applications that integrate with Rights Management templates.

Další informace o šablonách v Azure Portal najdete v tématu Konfigurace a Správa šablon pro Azure Information Protection.For more information about templates in the Azure portal, see Configuring and managing templates for Azure Information Protection.

Mám chráněný dokument a teď chcete změnit práva na používání nebo přidat uživatele – potřebuji znovu zapnout ochranu dokumentu?I've protected a document and now want to change the usage rights or add users—do I need to reprotect the document?

Pokud byl dokument chráněn pomocí popisku nebo šablony, není nutné znovu nastavit ochranu dokumentu.If the document was protected by using a label or template, there's no need to reprotect the document. Upravte popisek nebo šablonu tím, že provedete změny práv k používání nebo přidáte nové skupiny (nebo uživatele) a uložíte tyto změny:Modify the label or template by making your changes to the usage rights or add new groups (or users), and then save these changes:

  • Pokud uživatel k dokumentu nepoužil před provedením změn, projeví se změny ihned po otevření dokumentu uživatelem.When a user hasn't accessed the document before you made the changes, the changes take effect as soon as the user opens the document.

  • Pokud uživatel již k dokumentu přistupoval, změny se projeví po vypršení platnosti licence k použití .When a user has already accessed the document, these changes take effect when their use license expires. Nastavte znovu ochranu dokumentu jenom v případě, že nemůžete počkat na vypršení platnosti licence k použití.Reprotect the document only if you cannot wait for the use license to expire. Opětovné zapnutí ochrany efektivně vytvoří novou verzi dokumentu, a proto novou licenci k použití pro uživatele.Reprotecting effectively creates a new version of the document, and therefore a new use license for the user.

Případně, pokud jste již nakonfigurovali skupinu pro požadovaná oprávnění, můžete změnit členství ve skupině tak, aby zahrnovalo nebo vyloučilo uživatele, a není nutné měnit popisek nebo šablonu.Alternatively, if you have already configured a group for the required permissions, you can change the group membership to include or exclude users and there is no need to change the label or template. Může dojít k malému zpoždění, než se změny projeví, protože služba Azure Rights Management ukládá do mezipaměti členství ve skupině.There might be a small delay before the changes take effect because group membership is cached by the Azure Rights Management service.

Pokud byl dokument chráněn pomocí vlastních oprávnění, nemůžete změnit oprávnění pro existující dokument.If the document was protected by using custom permissions, you cannot change the permissions for the existing document. Musíte znovu chránit dokument a zadat všechny uživatele a veškerá práva k používání, která jsou vyžadována pro tuto novou verzi dokumentu.You must protect the document again and specify all the users and all the usage rights that are required for this new version of the document. Chcete-li znovu chránit chráněný dokument, je nutné mít právo na použití úplné řízení.To reprotect a protected document, you must have the Full Control usage right.

Tip: Pokud chcete ověřit, jestli byl dokument chráněný šablonou nebo pomocí vlastního oprávnění, použijte rutinu PowerShellu Get-AIPFileStatus .Tip: To check whether a document was protected by a template or by using custom permission, use the Get-AIPFileStatus PowerShell cmdlet. Vždy se zobrazí popis šablony s omezeným přístupem pro vlastní oprávnění s jedinečným ID šablony, které se nezobrazí při spuštění rutiny Get-RMSTemplate.You always see a template description of Restricted Access for custom permissions, with a unique template ID that is not displayed when you run Get-RMSTemplate.

Používám hybridní nasazení systému Exchange s některými uživateli na Exchange Online a ostatními uživateli na serveru Exchange Server – je tato možnost podporována službou Azure RMS?I have a hybrid deployment of Exchange with some users on Exchange Online and others on Exchange Server—is this supported by Azure RMS?

Naprosto a dobrým aspektem je, že uživatelé můžou hladce chránit a využívat chráněné e-maily a přílohy v rámci obou nasazení Exchange.Absolutely, and the nice thing is, users are able to seamlessly protect and consume protected emails and attachments across the two Exchange deployments. Pro tuto konfiguraci aktivujte Azure RMS a povolte IRM pro Exchange Online a pak nasaďte a konfigurujte konektor služby RMS pro Exchange Server.For this configuration, activate Azure RMS and enable IRM for Exchange Online, then deploy and configure the RMS connector for Exchange Server.

Když použijeme tuto ochranu v produkčním prostředí, zbavuje se naše společnost následně možnosti změnit řešení nebo podstupuje riziko ztráty přístupu k obsahu, který službou Azure RMS chrání?If I use this protection for my production environment, is my company then locked into the solution or risk losing access to content that we protected with Azure RMS?

Ne, svá data máte vždy pod kontrolou a můžete k nim nadále přistupovat, i když se rozhodnete, že už službu Azure Rights Management nebudete dále používat.No, you always remain in control of your data and can continue to access it, even if you decide to no longer use the Azure Rights Management service. Další informace naleznete v tématu Vyřazení a deaktivace služby Azure Rights Management.For more information, see Decommissioning and deactivating Azure Rights Management.

Mohu ovládat, kteří z uživatelé mohou používat Azure RMS k ochraně obsahu?Can I control which of my users can use Azure RMS to protect content?

Ano, služba Azure Rights Management má ovládací prvky postupného zprovoznění uživatelů pro tento scénář.Yes, the Azure Rights Management service has user onboarding controls for this scenario. Další informace najdete v části konfigurace ovládacích prvků připojování pro postupné nasazení v článku Aktivace služby ochrany z Azure Information Protection .For more information, see the Configuring onboarding controls for a phased deployment section in the Activating the protection service from Azure Information Protection article.

Mohu zabránit uživatelům ve sdílení chráněných dokumentů s konkrétní společností?Can I prevent users from sharing protected documents with specific organizations?

Jednou z největších výhod používání služby Azure Rights Management k ochraně dat je, že Azure RMS podporuje spolupráci mezi společnostmi, aniž by bylo nutné konfigurovat explicitní vztahy důvěryhodnosti pro každou partnerskou společnost. Azure AD se postará o ověřování za vás.One of the biggest benefits of using the Azure Rights Management service for data protection is that it supports business-to-business collaboration without you having to configure explicit trusts for each partner organization, because Azure AD takes care of the authentication for you.

Neexistuje žádná možnost správy, která zabrání uživatelům v zabezpečeném sdílení dokumentů s konkrétními společnostmi.There is no administration option to prevent users from securely sharing documents with specific organizations. Například chcete zablokovat organizaci, které nedůvěřujete nebo která má konkurenční firmu.For example, you want to block an organization that you don't trust or that has a competing business. Zabránění službě Azure Rights Management v posílání chráněných dokumentů uživatelům v těchto organizacích by nemělo smysl, protože by uživatelé měli sdílet své dokumenty bez ochrany, což je pravděpodobně poslední věcí, kterou chcete v tomto scénáři provést.Preventing the Azure Rights Management service from sending protected documents to users in these organizations wouldn't make sense because your users would then share their documents unprotected, which is probably the last thing you want to happen in this scenario. Například byste nedokázali zjistit, kdo sdílí důvěrné dokumenty společnosti, se kterými se uživatelé v těchto organizacích můžou dělat při ochraně dokumentu (nebo e-mailu) službou Azure Rights Management.For example, you wouldn't be able to identify who is sharing company-confidential documents with which users in these organizations, which you can do when the document (or email) is protected by the Azure Rights Management service.

Když sdílím chráněný dokument s někým, kdo nepracuje v moji společností, jak tento uživatel získá ověření?When I share a protected document with somebody outside my company, how does that user get authenticated?

Ve výchozím nastavení používá služba Azure Rights Management účet Azure Active Directory a přidruženou e-mailovou adresu pro ověřování uživatelů, což správcům zajišťuje bezproblémové řešení pro firmy.By default, the Azure Rights Management service uses an Azure Active Directory account and an associated email address for user authentication, which makes business-to-business collaboration seamless for administrators. Pokud druhá společnost používá služby Azure, uživatelé již mají účty v Azure Active Directory, i když se tyto účty vytvořily a spravovaly místně a pak se synchronizovaly do Azure.If the other organization uses Azure services, users already have accounts in Azure Active Directory, even if these accounts are created and managed on-premises and then synchronized to Azure. Pokud má organizace Microsoft 365, používá tato služba také Azure Active Directory pro uživatelské účty.If the organization has Microsoft 365, under the covers, this service also uses Azure Active Directory for the user accounts. Pokud organizace uživatele nemá spravované účty v Azure, můžou si uživatelé zaregistrovat službu RMS pro jednotlivce, která vytvoří nespravovaného tenanta Azure a adresáře pro organizaci s účtem pro uživatele, aby bylo možné tohoto uživatele (a následným uživatelům) ověřit pro službu Azure Rights Management.If the user's organization doesn't have managed accounts in Azure, users can sign up for RMS for individuals, which creates an unmanaged Azure tenant and directory for the organization with an account for the user, so that this user (and subsequent users) can then be authenticated for the Azure Rights Management service.

Metoda ověřování těchto účtů se může lišit v závislosti na způsobu konfigurace účtů Azure Active Directory správcem v druhé společnosti.The authentication method for these accounts can vary, depending on how the administrator in the other organization has configured the Azure Active Directory accounts. Můžou například použít hesla vytvořená pro tyto účty, federace nebo hesla, která byla vytvořena v Active Directory Domain Services a pak synchronizována s Azure Active Directory.For example, they could use passwords that were created for these accounts, federation, or passwords that were created in Active Directory Domain Services and then synchronized to Azure Active Directory.

Další metody ověřování:Other authentication methods:

  • Pokud chráníte e-mail pomocí dokumentu Office k uživateli, který nemá účet ve službě Azure AD, změní se metoda ověřování.If you protect an email with an Office document attachment to a user who doesn't have an account in Azure AD, the authentication method changes. Služba Azure Rights Management je federované s některými oblíbenými poskytovateli sociálních identit, jako je například Gmail.The Azure Rights Management service is federated with some popular social identity providers, such as Gmail. Pokud je poskytovatel e-mailu uživatele podporovaný, uživatel se může přihlásit k této službě a poskytovatel e-mailu je zodpovědný za jejich ověření.If the user's email provider is supported, the user can sign in to that service and their email provider is responsible for authenticating them. Pokud poskytovatele e-mailů uživatele není podporován nebo jako preference, může uživatel použít jednorázové heslo, které je ověří a zobrazí e-mail s chráněným dokumentem ve webovém prohlížeči.If the user's email provider is not supported, or as a preference, the user can apply for a one-time passcode that authenticates them and displays the email with the protected document in a web browser.

  • Azure Information Protection můžou používat účty Microsoft pro podporované aplikace.Azure Information Protection can use Microsoft accounts for supported applications. V současné době není možné, aby všechny aplikace otevíraly chráněný obsah, když se pro ověřování používá účet Microsoft.Currently, not all applications can open protected content when a Microsoft account is used for authentication. Další informaceMore information

Mohu přidat k vlastním šablonám externí uživatele (lidi, kteří nepracují v naší organizaci)?Can I add external users (people from outside my company) to custom templates?

Ano.Yes. Nastavení ochrany , která můžete nakonfigurovat v Azure Portal umožňuje přidat oprávnění uživatelům a skupinám mimo vaši organizaci a dokonce i všechny uživatele v jiné organizaci.The protection settings that you can configure in the Azure portal let you add permissions to users and groups from outside your organization, and even all users in another organization. Může se stát, že se vám bude hodit odkaz na podrobný příklad zabezpečení dokumentů pomocí Azure Information Protection.You might find it useful to reference the step-by-step example, Secure document collaboration by using Azure Information Protection.

Všimněte si, že pokud máte popisky Azure Information Protection, před konfigurací těchto nastavení ochrany v Azure Portal musíte nejprve převést vlastní šablonu na popisek.Note that if you have Azure Information Protection labels, you must first convert your custom template to a label before you can configure these protection settings in the Azure portal. Další informace najdete v tématu Konfigurace a Správa šablon pro Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Alternativně můžete přidat externí uživatele do vlastních šablon (a jmenovek) pomocí prostředí PowerShell.Alternatively, you can add external users to custom templates (and labels) by using PowerShell. Tato konfigurace vyžaduje, abyste použili objekt definice práv, který použijete k aktualizaci šablony:This configuration requires you to use a rights definition object that you use to update your template:

  1. Zadejte externí e-mailové adresy a jejich práva v objektu definice práv pomocí rutiny New-AipServiceRightsDefinition k vytvoření proměnné.Specify the external email addresses and their rights in a rights definition object, by using the New-AipServiceRightsDefinition cmdlet to create a variable.

  2. Zadejte tuto proměnnou do parametru RightsDefinition pomocí rutiny set-AipServiceTemplateProperty .Supply this variable to the RightsDefinition parameter with the Set-AipServiceTemplateProperty cmdlet.

    Když přidáváte uživatele do existující šablony, musíte kromě nových uživatelů definovat i objekty definice práv pro existující uživatele v šablonách.When you add users to an existing template, you must define rights definition objects for the existing users in the templates, in addition to the new users. V tomto scénáři můžete najít užitečný Příklad 3: přidání nových uživatelů a práv k vlastní šabloně z části Příklady pro rutinu.For this scenario, you might find helpful Example 3: Add new users and rights to a custom template from the Examples section for the cmdlet.

Jaký typ skupin můžu používat s Azure RMS?What type of groups can I use with Azure RMS?

Ve většině scénářů můžete ve službě Azure AD použít libovolný typ skupiny, který má e-mailovou adresu.For most scenarios, you can use any group type in Azure AD that has an email address. Toto pravidlo se vždycky použije, když přiřazujete práva k používání, ale existují nějaké výjimky pro správu služby Azure Rights Management.This rule of thumb always applies when you assign usage rights but there are some exceptions for administering the Azure Rights Management service. Další informace najdete v tématu požadavky na Azure Information Protection skupinových účtů.For more information, see Azure Information Protection requirements for group accounts.

Jak se dá poslat chráněný e-mail na účet Gmail nebo Hotmail?How do I send a protected email to a Gmail or Hotmail account?

Pokud používáte Exchange Online a službu Azure Rights Management, stačí odeslat e-mail uživateli jako chráněnou zprávu.When you use Exchange Online and the Azure Rights Management service, you just send the email to the user as a protected message. Například můžete vybrat nové tlačítko chránit na panelu příkazů v Outlooku na webu, a to pomocí tlačítka pro Outlook Nepředávat jako tlačítko nebo možnosti nabídky.For example, you can select the new Protect button in the command bar in Outlook on the Web, use the Outlook Do Not Forward button or menu option. Případně můžete vybrat Azure Information Protection popisek, který se automaticky použije, Nepředávat za vás a klasifikuje e-maily.Or, you can select an Azure Information Protection label that automatically applies Do Not Forward for you, and classifies the email.

Příjemce uvidí možnost přihlásit se ke službě Gmail, Yahoo nebo účet Microsoft a pak si můžou chráněný e-mail přečíst.The recipient sees an option to sign in to their Gmail, Yahoo, or Microsoft account, and then they can read the protected email. Případně můžou zvolit možnost jednorázového hesla pro čtení e-mailu v prohlížeči.Alternatively, they can choose the option for a one-time passcode to read the email in a browser.

Pro podporu tohoto scénáře musí být Exchange Online povolený pro službu Azure Rights Management a nové funkce šifrování zpráv Office 365.To support this scenario, Exchange Online must be enabled for the Azure Rights Management service and the new capabilities in Office 365 Message Encryption. Další informace o této konfiguraci najdete v tématu Exchange Online: Konfigurace IRM.For more information about this configuration, see Exchange Online: IRM Configuration.

Další informace o nových funkcích, které zahrnují podporu všech e-mailových účtů na všech zařízeních, najdete v tomto blogovém příspěvku: oznamujeme nové funkce, které jsou dostupné v šifrování zpráv Office 365.For more information about the new capabilities that include supporting all email accounts on all devices, see the following blog post: Announcing new capabilities available in Office 365 Message Encryption.

Jaká zařízení a které typy souborů jsou podporovány službou Azure RMS?What devices and which file types are supported by Azure RMS?

Seznam zařízení, která podporují službu Azure Rights Management, najdete v článku Klientská zařízení, která podporují ochranu dat pomocí služby Azure Rights Management.For a list of devices that support the Azure Rights Management service, see Client devices that support Azure Rights Management data protection. Vzhledem k tomu, že ne všechna podporovaná zařízení aktuálně podporují všechny funkce Rights Management, nezapomeňte také zkontrolovat tabulky pro aplikace RMS-podporujících.Because not all supported devices can currently support all Rights Management capabilities, be sure to also check the tables for RMS-enlighted applications.

Služba Azure Rights Management podporuje všechny typy souborů.The Azure Rights Management service can support all file types. Pro textové a obrázkové soubory, soubory aplikace Microsoft Office (Word, Excel, PowerPoint), soubory .pdf a některé typy souborů dalších aplikací poskytuje Azure Rights Management nativní ochranu, která zahrnuje šifrování i vynucování práv (oprávnění).For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and some other application file types, Azure Rights Management provides native protection that includes both encryption and enforcement of rights (permissions). Pro všechny ostatní aplikace a typy souborů poskytuje obecná ochrana funkci zapouzdření souboru a ověřuje, zda je uživatel oprávněn k otevření souboru.For all other applications and file types, generic protection provides file encapsulation and authentication to verify if a user is authorized to open the file.

Seznam přípon názvů souborů, které Azure Rights Management nativně podporuje, najdete v tématu Typy souborů podporované klientem služby Azure Information Protection.For a list of file name extensions that are natively supported by Azure Rights Management, see File types supported by the Azure Information Protection client. Neuvedené přípony názvů souborů se podporují prostřednictvím klienta služby Azure Information Protection, který u těchto souborů automaticky použije obecnou ochranu.File name extensions not listed are supported by using the Azure Information Protection client that automatically applies generic protection to these files.

Když otevřu dokument Office chráněný RMS, bude přidružený dočasný soubor také chráněný RMS?When I open an RMS-protected Office document, does the associated temporary file become RMS-protected as well?

No.No. V tomto scénáři přidružený dočasný soubor neobsahuje data z původního dokumentu, ale místo toho pouze to, co uživatel zadá, když je soubor otevřen.In this scenario, the associated temporary file doesn't contain data from the original document but instead, only what the user enters while the file is open. Na rozdíl od původního souboru dočasný soubor samozřejmě není určený pro sdílení a zůstane na zařízení chráněném místním zabezpečením, například nástrojem BitLocker a systémem souborů EFS.Unlike the original file, the temporary file is obviously not designed for sharing and would remain on the device, protected by local security controls, such as BitLocker and EFS.

Zdá se, že funkce, kterou hledám, nepracovala s chráněnými knihovnami SharePoint – je podpora pro moji funkci plánována?A feature I am looking for doesn't seem to work with SharePoint protected libraries—is support for my feature planned?

V současné době služba Microsoft SharePoint podporuje dokumenty chráněné službou RMS pomocí knihoven chráněných technologií IRM, které nepodporují Rights Management šablony, sledování dokumentů a některé další možnosti.Currently, Microsoft SharePoint supports RMS-protected documents by using IRM protected libraries, which do not support Rights Management templates, document tracking, and some other capabilities. Další informace najdete v části SharePoint v Microsoft 365 a sharepointovém serveru v článku aplikace a služby Office .For more information, see the SharePoint in Microsoft 365 and SharePoint Server section in the Office applications and services article.

Pokud vás zajímá konkrétní možnosti, které se ještě nepodporují, ujistěte se, že máte na blogu Enterprise mobility and Securitynárok na oznámení.If you are interested in a specific capability that isn't yet supported, be sure to keep an eye on announcements on the Enterprise Mobility and Security Blog.

Návody nakonfigurovat jednu jednotku v SharePointu, aby uživatelé mohli bezpečně sdílet své soubory s lidmi v rámci společnosti i mimo ni?How do I configure One Drive in SharePoint, so that users can safely share their files with people inside and outside the company?

Ve výchozím nastavení se jako správce Microsoft 365 nenakonfigurujete. Uživatelé.By default, as a Microsoft 365 administrator, you don't configure this; users do.

Stejně jako správce webu služby SharePoint povolí a nakonfiguruje IRM pro knihovnu služby SharePoint, kterou vlastní, OneDrive je navržený pro uživatele, kteří povolí a nakonfigurují IRM pro vlastní knihovnu OneDrive.Just as a SharePoint site administrator enables and configures IRM for a SharePoint library that they own, OneDrive is designed for users to enable and configure IRM for their own OneDrive library. Pomocí prostředí PowerShell to však můžete provést za ně.However, by using PowerShell, you can do this for them. Pokyny najdete v tématu SharePoint v Microsoft 365 a OneDrivu: Konfigurace IRM.For instructions, see SharePoint in Microsoft 365 and OneDrive: IRM Configuration.

Máte nějaké tipy nebo triky pro úspěšné nasazení?Do you have any tips or tricks for a successful deployment?

Zajistili jsme velký počet nasazení a naslouchali zákazníkům, partnerům, konzultantům a pracovníkům podpory a na základě zkušeností pro vás máme jeden důležitý tip: Navrhujte a nasazujte jednoduché zásady.After overseeing many deployments and listening to our customers, partners, consultants, and support engineers – one of the biggest tips we can pass on from experience: Design and deploy simple policies.

Jelikož Azure Information Protection podporuje bezpečné sdílení s kýmkoli, můžete si dovolit být ambiciózní ohledně dosahu vaší ochrany dat.Because Azure Information Protection supports sharing securely with anyone, you can afford to be ambitious with your data protection reach. Ale při konfiguraci omezení používání práv postupujte uvážlivě.But be conservative when you configure rights usage restrictions. V mnoha organizacích je největší dopad na chod firmy z prevence úniku dat tím, že omezíte přístup lidem ve vaší organizaci.For many organizations, the biggest business impact comes from preventing data leakage by restricting access to people in your organization. Samozřejmě můžete získat mnohem více podrobností, než to, pokud potřebujete – zabránit uživatelům v tisku, úpravách atd. Ale ponechte přesnější omezení jako výjimku pro dokumenty, které skutečně potřebují vysoké zabezpečení, a Neimplementujte tato přísnější práva k používání na jeden den, ale Naplánujte si více fází přístupu.Of course, you can get much more granular than that if you need to – prevent people from printing, editing etc. But keep the more granular restrictions as the exception for documents that really need high-level security, and don't implement these more restrictive usage rights on day one, but plan for a more phased approach.

Jak znovu získáme přístup k souborům, které byly chráněny zaměstnanci, kteří teď opustili společnost?How do we regain access to files that were protected by an employee who has now left the organization?

Použijte funkci superuživatele, která uděluje oprávnění k používání úplných ovládacích prvků autorizovaným uživatelům pro všechny dokumenty a e-maily, které jsou chráněné vaším klientem.Use the super user feature, which grants the Full Control usage rights to authorized users for all documents and emails that are protected by your tenant. Super uživatelé můžou tento chráněný obsah vždycky číst a v případě potřeby ho odebrat nebo ho znovu chránit pro různé uživatele.Super users can always read this protected content, and if necessary, remove the protection or reprotect it for different users. Tato stejná funkce povoluje index ověřených služeb a kontrolu souborů, podle potřeby.This same feature lets authorized services index and inspect files, as needed.

Pokud je váš obsah uložený na SharePointu nebo OneDrivu, můžou správci spustit rutinu Unlock-SensitivityLabelEncryptedFile , aby se odstranil jak popisek citlivosti, tak šifrování.If your content is stored in SharePoint or OneDrive, admins can run the Unlock-SensitivityLabelEncryptedFile cmdlet, to remove both the sensitivity label and the encryption. Další informace najdete v dokumentaci k Microsoft 365.For more information, see the Microsoft 365 documentation.

Může služba Rights Management zabránit zachycení snímků obrazovky?Can Rights Management prevent screen captures?

Když neudělí právo k použití kopírování , Rights Management může zabránit zachycení obrazovky z mnoha běžně používaných nástrojů pro zachycení obrazovky na platformách Windows (Windows 7, Windows 8.1, Windows 10 a Windows 10 Mobile).By not granting the Copy usage right, Rights Management can prevent screen captures from many of the commonly used screen capture tools on Windows platforms (Windows 7, Windows 8.1, Windows 10, and Windows 10 Mobile). Zařízení s iOS, Mac a Androidem ale nedovolují žádné aplikace, aby zabránily zachycení obrazovky.However, iOS, Mac,and Android devices do not allow any app to prevent screen captures. Kromě toho můžou prohlížeče na jakémkoli zařízení bránit zachycení obrazovky.In addition, browsers on any device cannot prevent screen captures. Použití prohlížeče zahrnuje Outlook na webu a Office pro web.Browser use includes Outlook on the web and Office for the web.

Předcházení zachycení snímků obrazovky může pomoci zabránit náhodnému zveřejnění důvěrných nebo citlivých informací nebo zveřejnění z nedbalosti.Preventing screen captures can help to avoid accidental or negligent disclosure of confidential or sensitive information. Existuje ale mnoho způsobů, jak může uživatel sdílet data, která se zobrazují na obrazovce, a snímek obrazovky je jenom jedna metoda.But there are many ways that a user can share data that is displayed on a screen, and taking a screenshot is only one method. Například uživatel s úmyslem sdílení zobrazené informace může pořídit snímek pomocí fotoaparátu svého telefonu, znovu napsat data nebo je jednoduše ústně někomu předat.For example, a user intent on sharing displayed information can take a picture of it using their camera phone, retype the data, or simply verbally relay it to somebody.

Tyto příklady ukazují, že i když všechny platformy a veškerý software podporuje blokování zachycení snímku obrazovky rozhraní API Rights Management, technologie samotná nemůže vždy uživatelům zabránit ve sdílení dat, která by sdílet neměli.As these examples demonstrate, even if all platforms and all software supported the Rights Management APIs to block screen captures, technology alone cannot always prevent users from sharing data that they should not. Služba Rights Management může pomoci s ochranou důležitých dat pomocí autorizace a zásad používání, ale toto řešení správy podnikových práv je nutné používat s dalšími kontrolami.Rights Management can help to safeguard your important data by using authorization and usage policies, but this enterprise rights management solution should be used with other controls. Například implementovat fyzické zabezpečení, pečlivě prověřovat a sledovat uživatele, kteří mají oprávnění přístupu k datům vaší společnosti a investovat do vzdělávání uživatelů, aby pochopili, která data se nesmí sdílet.For example, implement physical security, carefully screen and monitor people who have authorized access to your organization's data, and invest in user education so users understand what data should not be shared.

Jaký je rozdíl mezi uživatele ochranou e-mailu pomocí možnosti Nepředávat dál a šablonou, která nezahrnuje právo Předat dál?What's the difference between a user protecting an email with Do Not Forward and a template that doesn't include the Forward right?

Bez ohledu na název a vzhled není možnost Nepřeposílat opakem práva ani šablony Přeposílat.Despite its name and appearance, Do Not Forward is not the opposite of the Forward right, or a template. Ve skutečnosti se jedná o sadu práv, která kromě omezení předávání e-mailů zahrnuje omezení kopírování, tisku a ukládání e-mailů mimo poštovní schránku.It is actually a set of rights that include restricting copying, printing, and saving the email outside the mailbox, in addition to restricting the forwarding of emails. Tato práva se prostřednictvím zvolených příjemců uplatňují dynamicky a nejsou staticky přiřazena správcem.The rights are dynamically applied to users via the chosen recipients, and not statically assigned by the administrator. Další informace najdete v části možnost Nepřeposílat e-maily v tématu Konfigurace práv k používání pro Azure Information Protection.For more information, see the Do Not Forward option for emails section in Configuring usage rights for Azure Information Protection.