Nejčastější dotazy ohledně ochrany dat v Azure Information ProtectionFrequently asked questions about data protection in Azure Information Protection

Platí pro: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Máte dotazy ohledně služby ochrany dat Azure Rights Management (Azure RMS), součásti Azure Information Protection?Have a question about the data protection service, Azure Rights Management, from Azure Information Protection? Podívejte se, jestli tu nejsou zodpovězené.See if it's answered here.

Musí být soubory v cloudu, aby byly chráněné službou Azure Rights Management?Do files have to be in the cloud to be protected by Azure Rights Management?

Ne, je to běžná mylná představa.No, this is a common misconception. Služba Azure Rights Management (ani Microsoft) nesleduje ani neukládá vaše data v rámci procesu ochrany informací.The Azure Rights Management service (and Microsoft) does not see or store your data as part of the information protection process. Informace, který chcete chránit, se nikdy neodesílají ani neukládají v Azure, pokud je výslovně v Azure neuložíte nebo nepoužijete jinou cloudovou službu, která je uloží v Azure.Information that you protect is never sent to or stored in Azure unless you explicitly store it in Azure or use another cloud service that stores it in Azure.

Další informace najdete v části Jak funguje Azure RMS? Pod pokličkou jak se tajný recept na colu, který byl vytvořen a uložen v místním umístění, chrání pomocí služby Azure Rights Management, aniž by místní umístění opustil.For more information, see How does Azure RMS work? Under the hood to understand how a secret cola formula that is created and stored on-premises is protected by the Azure Rights Management service but remains on-premises.

Jaký je rozdíl mezi šifrováním ve službě Azure Rights Management a šifrováním v jiných cloudových službách Microsoftu?What’s the difference between Azure Rights Management encryption and encryption in other Microsoft cloud services?

Microsoft poskytuje několik technologií šifrování, které umožňují chránit data v různých scénářích, které se často doplňují.Microsoft provides multiple encryption technologies that enable you to protect your data for different, and often complementary scenarios. Zatímco například Office 365 nabízí klidové šifrování pro data uložená v Office 365, služba Azure Rights Management z Azure Information Protection šifruje data nezávisle tak, aby byla chráněna bez ohledu na svoje umístění nebo způsob přenosu.For example, while Office 365 offers encryption at-rest for data stored in Office 365, the Azure Rights Management service from Azure Information Protection independently encrypts your data so that it is protected regardless of where it is located or how it is transmitted.

Tyto technologie šifrování se doplňují a jejich používání vyžaduje, aby se povolily a nakonfigurovaly nezávisle.These encryption technologies are complementary and using them requires enabling and configuring them independently. Když to uděláte, může být pro vás dostupná možnost přinést si vlastní klíč, tedy scénář označovaný také jako BYOK.When you do so, you might have the option to bring your own key for the encryption, a scenario also known as "BYOK." Povolení BYOK pro jednu z těchto technologií nemá vliv na ostatní.Enabling BYOK for one of these technologies does not affect the others. Můžete například používat BYOK pro Azure Information Protection a pro jiné technologie šifrování ne, nebo naopak.For example, you can use BYOK for Azure Information Protection and not use BYOK for other encryption technologies, and vice versa. Klíče, které používají tyto různé technologie, můžou být stejné nebo různé v závislosti na tom, jak pro každou službu nakonfigurujete možnosti šifrování.The keys used by these different technologies might be the same or different, depending on how you configure the encryption options for each service.

Jaký je rozdíl mezi funkcí BYOK a HYOK a kdy je vhodné je použít?What’s the difference between BYOK and HYOK and when should I use them?

Přineste si vlastní klíč (BYOK) v kontextu služby Azure Information Protection označuje konfiguraci, kdy si vytvoříte vlastní místní klíč pro ochranu pomocí služby Azure Rights Management.Bring your own key (BYOK) in the context of Azure Information Protection, is when you create your own key on-premises for Azure Rights Management protection. Potom daný klíč přenesete do modulu hardwarového zabezpečení (HMS) ve službě Azure Key Vault, kde nadále zůstanete vlastníkem klíče a budete ho moci spravovat.You then transfer that key to a hardware security module (HSM) in Azure Key Vault where you continue to own and manage your key. Pokud jste to neudělali, ochrana pomocí služby Azure Rights Management použije klíč, který se vytvoří a spravuje automaticky za vás ve službě Azure.If you didn't do this, Azure Rights Management protection would use a key that is automatically created and managed for you in Azure. Tato výchozí konfigurace se označuje jako spravovaná Microsoftem, nikoli jako spravovaná zákazníkem (možnost BYOK).This default configuration is referred to as "Microsoft-managed" rather than "customer-managed" (the BYOK option).

Další informace o topologii klíče BYOK a o tom, zda byste ji měli pro svou organizaci použít, najdete v tématu Plánování a implementace klíče tenanta Azure Information Protection.For more information about BYOK and whether you should choose this key topology for your organization, see Planning and implementing your Azure Information Protection tenant key.

HYOK (Hold your own key) v kontextu služby Azure Information Protection slouží pro několik organizací, které mají podmnožinu dokumentů nebo e-mailů, jež není možné chránit klíčem uloženým v cloudu.Hold your own key (HYOK) in the context of Azure Information Protection, is for a few organizations that have a subset of documents or emails that cannot be protected by a key that is stored in the cloud. U takových organizací platí toto omezení, i když vytvoří a spravují vlastní klíč pomocí funkce BYOK.For these organizations, this restriction applies even if they created the key and manage it, using BYOK. Toto omezení se často používá z důvodu dodržování zákonů a předpisů a konfiguraci HYOK byste měli používat jenom u informací označených jako Přísně tajné. To znamená, že takové informace se nikdy nebudou sdílet mimo organizaci, budou využívané jenom v interní síti a nebude potřeba k nim přistupovat z mobilních zařízení.The restriction can often be because of regulatory or compliance reasons and the HYOK configuration should be applied to "Top Secret" information only, that will never be shared outside the organization, will only be consumed on the internal network, and does not need to be accessed from mobile devices.

V těchto výjimečných případech (obvykle se jedná o méně než 10 % veškerého obsahu vyžadujícího ochranu) mohou organizace vytvořit klíč, který zůstane v místním úložišti, pomocí místního řešení – služby AD RMS (Active Directory Rights Management Services).For these exceptions (typically less than 10% of all the content that needs to be protected), organizations can use an on-premises solution, Active Directory Rights Management Services, to create the key that remains on-premises. S tímto řešením počítače získají zásady služby Azure Information Protection z cloudu, ale tento identifikovaný obsah je možné chránit místním klíčem.With this solution, computers get their Azure Information Protection policy from the cloud, but this identified content can be protected by using the on-premises key.

Další informace o funkci HYOK, přehled jejích omezení a pokyny, kdy je třeba funkci používat, najdete v tématu Požadavky a omezení pro funkci „Hold your own key“ (HYOK) ochrany AD RMS.For more information about HYOK and to make sure that you understand its limitations and restrictions, and guidance when to use it, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection.

Lze nyní použít BYOK s Exchange Online?Can I now use BYOK with Exchange Online?

Ano, teď můžete použít BYOK s Exchange Online Pokud budete postupovat podle pokynů v nastavit nové možnosti šifrování zpráv Office 365 postavená na Azure Information Protection.Yes, you can now use BYOK with Exchange Online when you follow the instructions in Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection. Tyto pokyny povolit nové funkce v systému Exchange Online, které podporují použití funkce BYOK pro Azure Information Protection, jakož i nové šifrování zpráv Office 365.These instructions enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection, as well as the new Office 365 Message Encryption.

Další informace o této změně, najdete v blogu oznámení: šifrování zpráv Office 365 pomocí nových funkcíFor more information about this change, see the blog announcement: Office 365 Message Encryption with the new capabilities

Kde najdu informace o řešeních jiných výrobců, která se integrují s Azure RMS?Where can I find information about third-party solutions that integrate with Azure RMS?

Mnoho dodavatelů softwaru již má nebo implementuje řešení, která se integrují s Azure Rights Management, a jejich seznam rychle roste.Many software vendors already have solutions or are implementing solutions that integrate with Azure Rights Management—and the list is growing rapidly. Může být užitečné zkontrolovat řešení RMS englightened seznamu a získat nejnovější aktualizace od Microsoft Mobility@MSFTMobility na Twitteru.You might find it useful to check the RMS-englightened solutions list and get the latest updates from Microsoft Mobility@MSFTMobility on Twitter. Podívejte se taky – Příručka vývojáře a Ptejte žádné konkrétní integrace Azure Information Protection webu Yammer.Also check the developer's guide and post any specific integration questions on the Azure Information Protection Yammer site.

Je pro RMS Connector dostupná sada Management Pack nebo podobný monitorovací mechanismus?Is there a management pack or similar monitoring mechanism for the RMS connector?

Přestože služba Rights Management Connector zaznamenává informace, upozornění a zprávy do protokolu událostí, sada Management Pack, která zahrnuje monitorování pro tyto události, není dostupná.Although the Rights Management connector logs information, warning, and error messages to the event log, there isn’t a management pack that includes monitoring for these events. Seznam událostí, jejich popis a další informace, které vám umožní provádět opravné akce, jsou uvedené v tématu Monitorování služby Azure Rights Management Connector.However, the list of events and their descriptions, with more information to help you take corrective action is documented in Monitor the Azure Rights Management connector.

Je pro konfiguraci Azure RMS nutný správce, nebo je možné delegovat na ostatní správce?Do you need to be a global admin to configure Azure RMS, or can I delegate to other administrators?

S nově přináší role správce ochrany informací, tento dotaz (a odpovědí) se teď přesunul na hlavní stránce – Nejčastější dotazy: potřebujete být globálním správcem konfigurace Azure Information Protection, nebo je možné delegovat na ostatní správce?With the newly introduced Information Protection Administrator role, this question (and answer) has now moved to the main FAQ page: Do you need to be a global admin to configure Azure Information Protection, or can I delegate to other administrators?

Postup vytvoření nové vlastní šablony na portálu Azure PortalHow do I create a new custom template in the Azure portal?

Vlastní šablony byl přesunut do portálu Azure, kde můžete dál spravovat jako šablony, nebo je převést na popisky.Custom templates have moved to the Azure portal where you can continue to manage them as templates, or convert them to labels. Pokud chcete vytvořit novou šablonu, vytvořte nový popisek a nakonfigurujte nastavení ochrany dat pro službu Azure RMS.To create a new template, create a new label and configure the data protection settings for Azure RMS. Skrytě se tím vytvoří nová šablona, ke které se dostanete pomocí služeb a aplikací integrovaných se šablonami služby Rights Management.Under the covers, this creates a new template that can then be accessed by services and applications that integrate with Rights Management templates.

Další informace o šablonách na portálu Azure najdete v tématu konfigurace a Správa šablon pro Azure Information Protection.For more information about templates in the Azure portal, see Configuring and managing templates for Azure Information Protection.

I chráněný dokument a nyní chcete změnit práva na používání nebo přidat uživatele, je nutné znovu nastavte ochranu dokumentu?I've protected a document and now want to change the usage rights or add users—do I need to reprotect the document?

Pokud dokument chráněný pomocí popisek nebo šablony, je potřeba znovu nastavte ochranu dokumentu.If the document was protected by using a label or template, there's no need to reprotect the document. Změňte popisek nebo šablony provedete požadované změny pro práva na používání nebo přidat nové skupiny (nebo uživatelé) a potom uložte a publikovat tyto změny:Modify the label or template by making your changes to the usage rights or add new groups (or users), and then save and publish these changes:

  • Když dokumentu nebyla přístupu uživatele, před provedením změn v, tyto změny začnou platit, jakmile uživatel otevře dokument.When a user hasn't accessed the document before you made the changes, the changes take effect as soon as the user opens the document.

  • Uživatel již přístup k dokumentu, tyto změny začnou platit při jejich používat licenci vyprší platnost.When a user has already accessed the document, these changes take effect when their use license expires. Pouze v případě, že nemůže čekat na použití licence vyprší, znovu aktivujte ochranu dokumentu.Reprotect the document only if you cannot wait for the use license to expire. Opětovné povolení ochrany efektivně vytvoří novou verzi dokumentu a proto novou licenci k použití pro uživatele.Reprotecting effectively creates a new version of the document, and therefore a new use license for the user.

Případně pokud jste již nakonfigurovali skupinu pro požadovaná oprávnění, můžete změnit členství ve skupině pro zahrnutí nebo vyloučení uživatelů a není nutné změnit popisek nebo šablony.Alternatively, if you have already configured a group for the required permissions, you can change the group membership to include or exclude users and there is no need to change the label or template. Může být malé zpoždění před tyto změny začnou platit, protože členství ve skupině je v mezipaměti pomocí služby Azure Rights Management.There might be a small delay before the changes take effect because group membership is cached by the Azure Rights Management service.

Pokud dokument chráněný pomocí vlastní oprávnění, nelze změnit oprávnění pro stávající dokument.If the document was protected by using custom permissions, you cannot change the permissions for the existing document. Musíte ochraně dokumentu znovu a zadejte všechny uživatele a všechna práva využití, které jsou požadovány pro tuto novou verzi dokumentu.You must protect the document again and specify all the users and all the usage rights that are required for this new version of the document. K nastavení opětné chráněný dokument, musí mít plnou kontrolu využití správné.To reprotect a protected document, you must have the Full Control usage right.

Tip: Pokud chcete zkontrolovat, jestli je dokument chráněný pomocí šablony nebo pomocí vlastní oprávnění, použijte Get-AIPFileStatus rutiny prostředí PowerShell.Tip: To check whether a document was protected by a template or by using custom permission, use the Get-AIPFileStatus PowerShell cmdlet. Vždy zobrazí popis šablony omezený přístup pro vlastní oprávnění, s ID jedinečný šablony, které se nezobrazí, pokud spustíte Get-RMSTemplate.You always see a template description of Restricted Access for custom permissions, with a unique template ID that is not displayed when you run Get-RMSTemplate.

Používám hybridní nasazení systému Exchange s některými uživateli na Exchange Online a ostatními uživateli na serveru Exchange Server – je tato možnost podporována službou Azure RMS?I have a hybrid deployment of Exchange with some users on Exchange Online and others on Exchange Server—is this supported by Azure RMS?

Rozhodně a skvělé na tom je, že se uživatelé moct bez problémů chránit a využívat chráněné e-maily a přílohy napříč dvěma nasazeními systému Exchange.Absolutely, and the nice thing is, users are able to seamlessly protect and consume protected emails and attachments across the two Exchange deployments. Pro tuto konfiguraci aktivujte Azure RMS a povolte IRM pro Exchange Online a pak nasaďte a konfigurujte konektor služby RMS pro Exchange Server.For this configuration, activate Azure RMS and enable IRM for Exchange Online, then deploy and configure the RMS connector for Exchange Server.

Když použijeme tuto ochranu v produkčním prostředí, zbavuje se naše společnost následně možnosti změnit řešení nebo podstupuje riziko ztráty přístupu k obsahu, který službou Azure RMS chrání?If I use this protection for my production environment, is my company then locked into the solution or risk losing access to content that we protected with Azure RMS?

Ne, svá data máte vždy pod kontrolou a můžete k nim nadále přistupovat, i když se rozhodnete, že už službu Azure Rights Management nebudete dále používat.No, you always remain in control of your data and can continue to access it, even if you decide to no longer use the Azure Rights Management service. Další informace naleznete v tématu Vyřazení a deaktivace služby Azure Rights Management.For more information, see Decommissioning and deactivating Azure Rights Management.

Mohu ovládat, kteří z uživatelé mohou používat Azure RMS k ochraně obsahu?Can I control which of my users can use Azure RMS to protect content?

Ano, služba Azure Rights Management má ovládací prvky postupného zprovoznění uživatelů pro tento scénář.Yes, the Azure Rights Management service has user onboarding controls for this scenario. Další informace najdete v části Konfigurace ovládacích prvků registrace pro postupné nasazování v článku Aktivace Azure Rights Management.For more information, see the Configuring onboarding controls for a phased deployment section in the Activating Azure Rights Management article.

Mohu zabránit uživatelům ve sdílení chráněných dokumentů s konkrétní společností?Can I prevent users from sharing protected documents with specific organizations?

Jednou z největších výhod používání služby Azure Rights Management k ochraně dat je, že Azure RMS podporuje spolupráci mezi společnostmi, aniž by bylo nutné konfigurovat explicitní vztahy důvěryhodnosti pro každou partnerskou společnost. Azure AD se postará o ověřování za vás.One of the biggest benefits of using the Azure Rights Management service for data protection is that it supports business-to-business collaboration without you having to configure explicit trusts for each partner organization, because Azure AD takes care of the authentication for you.

Neexistuje žádná možnost správy, která zabrání uživatelům v zabezpečeném sdílení dokumentů s konkrétními společnostmi.There is no administration option to prevent users from securely sharing documents with specific organizations. Například chcete zablokovat společnosti, kterým nedůvěřujete nebo mají konkurenční podnikání.For example, you want to block an organization that you don’t trust or that has a competing business. Bránit službě Azure Rights Management v odeslání chráněných dokumentů uživatelům v těchto organizacích by nedávalo smysl vzhledem k tomu, že uživatelé by pak sdíleli své dokumenty bez ochrany, což je pravděpodobně poslední věcí, kterou byste v tomto scénáři chtěli dopustit.Preventing the Azure Rights Management service from sending protected documents to users in these organizations wouldn’t make sense because your users would then share their documents unprotected, which is probably the last thing you want to happen in this scenario. Například byste nemohli zjistit, kdo s kým z těchto organizací sdílí důvěrné dokumenty společnosti, což v případě, že máte dokument (nebo e-mail) chráněný službou Azure Rights Management, klidně můžete.For example, you wouldn’t be able to identify who is sharing company-confidential documents with which users in these organizations, which you can do when the document (or email) is protected by the Azure Rights Management service.

Když sdílím chráněný dokument s někým, kdo nepracuje v moji společností, jak tento uživatel získá ověření?When I share a protected document with somebody outside my company, how does that user get authenticated?

Ve výchozím nastavení služba Azure Rights Management používá účet služby Azure Active Directory a přidružené e-mailovou adresu pro ověřování uživatelů, což je business-to-business spolupráce bezproblémové správcům.By default, the Azure Rights Management service uses an Azure Active Directory account and an associated email address for user authentication, which makes business-to-business collaboration seamless for administrators. Pokud druhá společnost používá služby Azure, uživatelé již mají účty v Azure Active Directory, i když se tyto účty vytvořily a spravovaly místně a pak se synchronizovaly do Azure.If the other organization uses Azure services, users already have accounts in Azure Active Directory, even if these accounts are created and managed on-premises and then synchronized to Azure. Pokud společnost využívá službu Office 365, tak tato služba skrytě také používá Azure Active Directory pro uživatelské účty.If the organization has Office 365, under the covers, this service also uses Azure Active Directory for the user accounts. Pokud organizace uživatele nemá spravované účty v Azure, můžou se uživatelé zaregistrovat do služby RMS pro jednotlivce, která pro organizaci vytvoří nespravovaného tenanta a adresář Azure s účtem pro uživatele, aby tento uživatel a případní další uživatelé mohli být pro službu Azure Rights Management ověřeni.If the user’s organization doesn’t have managed accounts in Azure, users can sign up for RMS for individuals, which creates an unmanaged Azure tenant and directory for the organization with an account for the user, so that this user (and subsequent users) can then be authenticated for the Azure Rights Management service.

Metoda ověřování těchto účtů se může lišit v závislosti na způsobu konfigurace účtů Azure Active Directory správcem v druhé společnosti.The authentication method for these accounts can vary, depending on how the administrator in the other organization has configured the Azure Active Directory accounts. Například mohou používat hesla, která byla vytvořena pro tyto účty, vícefaktorové ověřování (MFA), federace nebo hesla, která byla vytvořena ve službě Active Directory Domain Services a potom synchronizována do Azure Active Directory.For example, they could use passwords that were created for these accounts, multi-factor authentication (MFA), federation, or passwords that were created in Active Directory Domain Services and then synchronized to Azure Active Directory.

Jiných metod ověřování:Other authentication methods:

  • Pokud budete chránit e-mail s přílohou dokumentu Office pro uživatele, který nemá účet ve službě Azure AD, změní se metodu ověřování.If you protect an email with an Office document attachment to a user who doesn't have an account in Azure AD, the authentication method changes. Služba Azure Rights Management je sdružených se službou někteří poskytovatelé oblíbených sociálních identity, třeba z Gmailu.The Azure Rights Management service is federated with some popular social identity providers, such as Gmail. Pokud je podporováno poskytovatele e-mailu uživatele, uživatel může přihlásit k této službě a jejich poskytovatel e-mailu je zodpovědný za ověření je.If the user's email provider is supported, the user can sign in to that service and their email provider is responsible for authenticating them. Pokud uživatele e-mailu zprostředkovatel není podporován, nebo jako předvolbu, může uživatel použít pro jednorázové heslo, který ověřuje je a e-mailu pomocí chráněný dokument zobrazí ve webovém prohlížeči.If the user's email provider is not supported, or as a preference, the user can apply for a one-time passcode that authenticates them and displays the email with the protected document in a web browser.

  • Azure Information Protection můžete použít účty Microsoft pro podporovaných aplikací.Azure Information Protection can use Microsoft accounts for supported applications. Ne všechny aplikace v současné době můžete otevřít chráněný obsah, když účet Microsoft se používá k ověřování.Currently, not all applications can open protected content when a Microsoft account is used for authentication. Další informaceMore information

Mohu přidat k vlastním šablonám externí uživatele (lidi, kteří nepracují v naší organizaci)?Can I add external users (people from outside my company) to custom templates?

Ano.Yes. Nastavení ochrany , můžete nakonfigurovat na portálu Azure slouží k přidání oprávnění pro uživatele a skupiny z mimo vaši organizaci a i všem uživatelům v jiné organizaci.The protection settings that you can configure in the Azure portal let you add permissions to users and groups from outside your organization, and even all users in another organization. Vám může být užitečné k odkazování podrobný příklad zabezpečené spolupráce na dokumentech pomocí Azure Information Protection.You might find it useful to reference the step-by-step example, Secure document collaboration by using Azure Information Protection.

Všimněte si, že pokud máte popisky Azure Information Protection, je nutné nejprve převést vlastní šablony na štítek před konfigurací těchto nastavení ochrany na portálu Azure.Note that if you have Azure Information Protection labels, you must first convert your custom template to a label before you can configure these protection settings in the Azure portal. Další informace najdete v tématu konfigurace a Správa šablon pro Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Alternativně můžete přidat externí uživatele vlastní šablony (a popisky) pomocí prostředí PowerShell.Alternatively, you can add external users to custom templates (and labels) by using PowerShell. Tato konfigurace vyžaduje použití objektu definice práv, který použijete k aktualizaci šablony:This configuration requires you to use a rights definition object that you use to update your template:

  1. Zadejte externí e-mailové adresy a jejich oprávnění do objektu definice práv, pomocí New-AadrmRightsDefinition rutiny vytvoření proměnné.Specify the external email addresses and their rights in a rights definition object, by using the New-AadrmRightsDefinition cmdlet to create a variable.

  2. Poskytnete tuto proměnnou na parametr RightsDefinition pomocí Set-AadrmTemplateProperty rutiny.Supply this variable to the RightsDefinition parameter with the Set-AadrmTemplateProperty cmdlet.

    Pokud přidáte uživatele do stávající šablony, je nutné definovat práva definice objektů pro existující uživatele v šablonách, kromě nové uživatele.When you add users to an existing template, you must define rights definition objects for the existing users in the templates, in addition to the new users. Pro tento scénář, mohou být užitečné příklad 3: přidání nových uživatelů a práva k vlastní šablony z příklady části pro rutinu.For this scenario, you might find helpful Example 3: Add new users and rights to a custom template from the Examples section for the cmdlet.

Jaký typ skupiny můžete použít s Azure RMS?What type of groups can I use with Azure RMS?

Pro většinu scénářů můžete použít libovolný typ skupiny ve službě Azure AD, která má e-mailovou adresu.For most scenarios, you can use any group type in Azure AD that has an email address. Toto pravidlo platí vždy při přiřazení práv k používání, ale existují i některé výjimky pro správu služby Azure Rights Management.This rule of thumb always applies when you assign usage rights but there are some exceptions for administering the Azure Rights Management service. Další informace najdete v tématu Azure Information Protection požadavky pro skupinové účty.For more information, see Azure Information Protection requirements for group accounts.

Jak se dá poslat chráněný e-mail na účet Gmail nebo Hotmail?How do I send a protected email to a Gmail or Hotmail account?

Pokud používáte Exchange Online a službu Azure Rights Management, je právě posílat e-mailu uživatele jako chráněné zprávy.When you use Exchange Online and the Azure Rights Management service, you just send the email to the user as a protected message. Například můžete vybrat nový chránit tlačítka na panelu příkazů v aplikaci Outlook na webu, použijte možnost aplikace Outlook Nepředávat dál tlačítka nebo nabídky možnost.For example, you can select the new Protect button in the command bar in Outlook on the Web, use the Outlook Do Not Forward button or menu option. Nebo můžete vybrat popisek Azure Information Protection, která automaticky použije Nepředávat dál pro vás a klasifikuje e-mailu.Or, you can select an Azure Information Protection label that automatically applies Do Not Forward for you, and classifies the email.

Příjemce se zobrazí možnost se přihlásit k účtu mají Gmail, Yahoo nebo Microsoft a může číst chráněné e-maily.The recipient sees an option to sign in to their Gmail, Yahoo, or Microsoft account, and then they can read the protected email. Alternativně si mohli vybírat možnosti pro jednorázové heslo ke čtení e-mailu v prohlížeči.Alternatively, they can choose the option for a one-time passcode to read the email in a browser.

Pro podporu tohoto scénáře, musí být povolená pro Exchange Online služby Azure Rights Management a nové funkce v šifrování zpráv Office 365.To support this scenario, Exchange Online must be enabled for the Azure Rights Management service and the new capabilities in Office 365 Message Encryption. Další informace o této konfiguraci najdete v tématu Exchange Online: Konfigurace IRM.For more information about this configuration, see Exchange Online: IRM Configuration.

Další informace o nových funkcích, které zahrnují podporu všechny e-mailové účty na všechna zařízení, najdete v příspěvku blogu: uvedení nové funkce, které jsou k dispozici v šifrování zpráv Office 365.For more information about the new capabilities that include supporting all email accounts on all devices, see the following blog post: Announcing new capabilities available in Office 365 Message Encryption.

Jaká zařízení a které typy souborů jsou podporovány službou Azure RMS?What devices and which file types are supported by Azure RMS?

Seznam zařízení, která podporují službu Azure Rights Management, najdete v článku Klientská zařízení, která podporují ochranu dat pomocí služby Azure Rights Management.For a list of devices that support the Azure Rights Management service, see Client devices that support Azure Rights Management data protection. Vzhledem k tomu, že ne všechna podporovaná zařízení aktuálně podporují všechny možnosti služby Rights Management, nezapomeňte také zkontrolovat tabulku aplikací nativně podporujících RMS.Because not all supported devices can currently support all Rights Management capabilities, be sure to also check the table for RMS-enlighted applications.

Služba Azure Rights Management podporuje všechny typy souborů.The Azure Rights Management service can support all file types. Pro textové a obrázkové soubory, soubory aplikace Microsoft Office (Word, Excel, PowerPoint), soubory .pdf a některé typy souborů dalších aplikací poskytuje Azure Rights Management nativní ochranu, která zahrnuje šifrování i vynucování práv (oprávnění).For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and some other application file types, Azure Rights Management provides native protection that includes both encryption and enforcement of rights (permissions). Pro všechny ostatní aplikace a typy souborů poskytuje obecná ochrana funkci zapouzdření souboru a ověřuje, zda je uživatel oprávněn k otevření souboru.For all other applications and file types, generic protection provides file encapsulation and authentication to verify if a user is authorized to open the file.

Seznam přípon názvů souborů, které Azure Rights Management nativně podporuje, najdete v tématu Typy souborů podporované klientem služby Azure Information Protection.For a list of file name extensions that are natively supported by Azure Rights Management, see File types supported by the Azure Information Protection client. Neuvedené přípony názvů souborů se podporují prostřednictvím klienta služby Azure Information Protection, který u těchto souborů automaticky použije obecnou ochranu.File name extensions not listed are supported by using the Azure Information Protection client that automatically applies generic protection to these files.

Jak konfigurovat počítače Mac k ochraně a sledování dokumentů?How do I configure a Mac computer to protect and track documents?

Nejprve se ujistěte, že máte nainstalovanou Office pro Mac pomocí odkazu na instalaci softwaru z https://portal.office.com. Úplné pokyny najdete v tématu Stažení a instalace nebo přeinstalace Office 365 nebo Office 2016 na počítači PC nebo Mac.First, make sure that you have installed Office for Mac by using the software installation link from https://portal.office.com. For full instructions, see Download and install or reinstall Office 365 or Office 2016 on a PC or Mac.

Otevřete Outlook a vytvořte profil s použitím pracovního nebo školního účtu Office 365.Open Outlook and create a profile by using your Office 365 work or school account. Pak vytvořte novou zprávu a následujícím postupem nakonfigurujte Office tak, aby mohl chránit dokumenty a e-maily pomocí služby Azure Rights Management:Then, create a new message and do the following to configure Office so that it can protect documents and emails by using the Azure Rights Management service:

  1. V nové zprávě na kartě Možnosti klikněte na Oprávnění a potom klikněte na Ověřit přihlašovací údaje.In the new message, on the Options tab, click Permissions, and then click Verify Credentials.

  2. Po zobrazení výzvy znovu zadejte podrobnosti pracovního nebo školního účtu Office 365 a vyberte možnost Přihlásit.When prompted, specify your Office 365 work or school account details again, and select Sign in.

    Tato akce stáhne šablony Azure Rights Management a možnost Ověřit přihlašovací údaje je teď nahrazena možnostmi, jako je Bez omezení, Nepřeposílat, a jakýmikoli šablonami Azure Rights Management, které jsou publikované pro vašeho tenanta.This downloads the Azure Rights Management templates and Verify Credentials is now replaced with options that include No Restrictions, Do Not Forward, and any Azure Rights Management templates that are published for your tenant. Teď můžete tuto novou zprávu zrušit.You can now cancel this new message.

Ochrana e-mailové zprávy nebo dokumentu: Na kartě Možnosti klikněte na Oprávnění a vyberte možnost nebo šablonu, která bude chránit váš e-mail nebo dokument.To protect an email message or a document: On the Options tab, click Permissions and choose an option or template that protects your email or document.

Sledování dokumentu po zajištění jeho ochrany: V počítači s Windows, který má nainstalovaného klienta Azure Information Protection, zaregistrujte dokument pomocí aplikace Office nebo Průzkumníka souborů na webu pro sledování dokumentů.To track a document after you have protected it: From a Windows computer that has the Azure Information Protection client installed, register the document with the document tracking site by using either an Office application or File Explorer. Pokyny najdete v tématu Sledování a odvolávání dokumentů.For instructions, see Track and revoke your documents. Z počítače Mac, můžete přejít na web pro sledování dokumentů nyní pomocí webového prohlížeče (https://track.azurerms.com) můžou sledovat a odvolávat tohoto dokumentu.From your Mac computer, you can now use your web browser to go to the document tracking site (https://track.azurerms.com) to track and revoke this document.

Když otevřu dokument Office chráněný RMS, bude přidružený dočasný soubor také chráněný RMS?When I open an RMS-protected Office document, does the associated temporary file become RMS-protected as well?

Ne.No. V tomto scénáři přidružený dočasný soubor neobsahuje data z původního dokumentu, ale jenom to, co uživatel zadá, když je tento soubor otevřený.In this scenario, the associated temporary file doesn’t contain data from the original document but instead, only what the user enters while the file is open. Na rozdíl od původního souboru dočasný soubor samozřejmě není určený pro sdílení a zůstane na zařízení chráněném místním zabezpečením, například nástrojem BitLocker a systémem souborů EFS.Unlike the original file, the temporary file is obviously not designed for sharing and would remain on the device, protected by local security controls, such as BitLocker and EFS.

Zdá se, že funkce, kterou hledám, asi nepracuje s chráněnými knihovnami SharePoint – je podpora pro moje funkce plánovaná?A feature I am looking for doesn’t seem to work with SharePoint protected libraries—is support for my feature planned?

V současné době SharePoint podporuje RMS chránit dokumenty pomocí IRM chránit knihovny, které nepodporují šablony služby Rights Management, sledování dokumentů a některé další možnosti.Currently, SharePoint supports RMS-protected documents by using IRM protected libraries, which do not support Rights Management templates, document tracking, and some other capabilities. Další informace naleznete v části SharePoint Online a SharePoint Server v článku o aplikacích a službách Office.For more information, see the SharePoint Online and SharePoint Server section in the Office applications and services article.

Pokud vás zajímají konkrétní možnosti, které se ještě nepodporují, měli byste sledovat oznámení na blogu Enterprise Mobility and Security Blog.If you are interested in a specific capability that isn't yet supported, be sure to keep an eye on announcements on the Enterprise Mobility and Security Blog.

Jak mohu nakonfigurovat službu One Drive for Business ve službě SharePoint Online tak, aby uživatelé mohli bezpečně sdílet své soubory s uživateli uvnitř i vně společnosti?How do I configure One Drive for Business in SharePoint Online, so that users can safely share their files with people inside and outside the company?

Ve výchozím nastavení jako správce služeb Office 365, tato nastavení nekonfigurujete, dělají to uživatelé.By default, as an Office 365 administrator, you don’t configure this; users do.

Podobně jako správce webu služby SharePoint povoluje a konfiguruje IRM pro knihovnu SharePoint, kterou vlastní, Onedrive for Business je navržen pro uživatele, aby povolovali a konfigurovali IRM pro svoji vlastní knihovnu Onedrive for Business.Just as a SharePoint site administrator enables and configures IRM for a SharePoint library that they own, OneDrive for Business is designed for users to enable and configure IRM for their own OneDrive for Business library. Pomocí prostředí PowerShell to však můžete provést za ně.However, by using PowerShell, you can do this for them. Pokyny naleznete v části SharePoint Online a Onedrive for Business: Konfigurace IRM v článku Office 365: konfigurace pro klienty a online služby.For instructions, see the SharePoint Online and OneDrive for Business: IRM Configuration section in the Office 365: Configuration for clients and online services article.

Máte nějaké tipy nebo triky pro úspěšné nasazení?Do you have any tips or tricks for a successful deployment?

Zajistili jsme velký počet nasazení a naslouchali zákazníkům, partnerům, konzultantům a pracovníkům podpory a na základě zkušeností pro vás máme jeden důležitý tip: Navrhujte a nasazujte jednoduché zásady.After overseeing many deployments and listening to our customers, partners, consultants, and support engineers – one of the biggest tips we can pass on from experience: Design and deploy simple policies.

Jelikož Azure Information Protection podporuje bezpečné sdílení s kýmkoli, můžete si dovolit být ambiciózní ohledně dosahu vaší ochrany dat.Because Azure Information Protection supports sharing securely with anyone, you can afford to be ambitious with your data protection reach. Ale buďte konzervativní při konfiguraci omezení použití práva.But be conservative when you configure rights usage restrictions. Pro mnoho společností největší dopad na firmu pochází ze zabránění úniku dat omezením přístupu na osoby ve vaší organizaci.For many organizations, the biggest business impact comes from preventing data leakage by restricting access to people in your organization. Samozřejmě můžete jít více do hloubky, pokud je potřeba – zabránit neoprávněným osobám v tisku, úpravách atd. Ale zachovat hlubší omezení jako výjimky pro dokumenty, které skutečně potřebují vysokou úroveň zabezpečení a Neimplementujte tyto přísnější práva k používání na jeden den, ale Plánujte ve víc fázích.Of course, you can get much more granular than that if you need to – prevent people from printing, editing etc. But keep the more granular restrictions as the exception for documents that really need high-level security, and don’t implement these more restrictive usage rights on day one, but plan for a more phased approach.

Jak znovu získáme přístup k souborům, které byly chráněny zaměstnanci, kteří teď opustili společnost?How do we regain access to files that were protected by an employee who has now left the organization?

Použití funkce superuživatele, která uděluje používání úplné řízení práv na oprávněné uživatele pro všechny dokumenty a e-maily, které jsou chráněny vašeho klienta.Use the super user feature, which grants the Full Control usage rights to authorized users for all documents and emails that are protected by your tenant. Superuživatelů můžete vždy číst tento chráněný obsah a v případě potřeby odebrat ochranu, nebo nastavte ji znovu pro různé uživatele.Super users can always read this protected content, and if necessary, remove the protection or reprotect it for different users. Tato stejná funkce povoluje index ověřených služeb a kontrolu souborů, podle potřeby.This same feature lets authorized services index and inspect files, as needed.

Když testuji zrušení na webu pro sledování dokumentů, zobrazuje se zpráva, že uživatelé můžou k dokumentu dál přistupovat po dobu 30 dnů. Je možné toto časové období konfigurovat?When I test revocation in the document tracking site, I see a message that says people can still access the document for up to 30 days—is this time period configurable?

Ano.Yes. Tato zpráva zobrazuje používat licenci pro tuto konkrétní soubor.This message reflects the use license for that specific file.

Pokud zrušíte přístup k nějakému souboru, dá se tato akce vynutit jenom v době, kdy se uživatel ověřuje ve službě Azure Rights Management.If you revoke a file, that action can be enforced only when the user authenticates to the Azure Rights Management service. Takže pokud má soubor licenci k použití s dobou platnosti 30 dnů a uživatel už daný dokument otevřel, bude mít tento uživatel dál přístup k tomuto dokumentu po dobu trvání licence k použití.So if a file has a use license validity period of 30 days and the user has already opened the document, that user continues to have access to the document for the duration of the use license. Když platnost licence k použití vyprší, je nutné, aby se tento uživatel znovu ověřil, a v tom okamžiku se tomuto uživateli odepře přístup, protože přístup k danému dokumentu se už zrušil.When the use license expires, the user must reauthenticate, at which point the user is denied access because the document is now revoked.

Uživatel, který tento dokument chrání, vystavitel Rights Management, je z tohoto odvolání vyčleněný a má ke svým dokumentům vždycky přístup.The user who protected the document, the Rights Management issuer is exempt from this revocation and is always able to access their documents.

Výchozí hodnota pro použití období platnosti licence pro klienta je 30 dnů a víc omezující nastavení v popisku nebo šablonu je možné toto nastavení přepsat.The default value for the use license validity period for a tenant is 30 days and this setting can be overridden by a more restrictive setting in a label or template. Další informace o použití licencí a jeho konfiguraci najdete v tématu Rights Management používat licenci dokumentaci.For more information about the use license and how to configure it, see the Rights Management use license documentation.

Může služba Rights Management zabránit zachycení snímků obrazovky?Can Rights Management prevent screen captures?

Neudělením práva k použití Kopírovat může služba Rights Management zabránit zachycení snímků obrazovky z mnoha běžně používaných nástrojů zachycení obrazovky na platformách Windows (Windows 7, Windows 8.1, Windows 10, Windows Phone) a Android.By not granting the Copy usage right, Rights Management can prevent screen captures from many of the commonly used screen capture tools on Windows platforms (Windows 7, Windows 8.1, Windows 10, Windows Phone) and Android. Zařízení iOS a Mac však neumožní jakékoli aplikaci, aby zabránila v zachycení snímku obrazovky a prohlížeče (například při použití s aplikací Outlook Web App a webem Office Online) také nemohou zabránit zachycení snímku obrazovky.However, iOS and Mac devices do not allow any app to prevent screen captures, and browsers (for example, when used with Outlook Web App and Office Online) also cannot prevent screen captures.

Předcházení zachycení snímků obrazovky může pomoci zabránit náhodnému zveřejnění důvěrných nebo citlivých informací nebo zveřejnění z nedbalosti.Preventing screen captures can help to avoid accidental or negligent disclosure of confidential or sensitive information. Existuje mnoho způsobů, pomocí kterých může uživatel sdílet data, která se zobrazí na obrazovce, a pořízení snímku obrazovky představuje pouze jednu metodu.But there are many ways that a user can share data that is displayed on a screen, and taking a screen shot is only one method. Například uživatel s úmyslem sdílení zobrazené informace může pořídit snímek pomocí fotoaparátu svého telefonu, znovu napsat data nebo je jednoduše ústně někomu předat.For example, a user intent on sharing displayed information can take a picture of it using their camera phone, retype the data, or simply verbally relay it to somebody.

Tyto příklady ukazují, že i když všechny platformy a veškerý software podporuje blokování zachycení snímku obrazovky rozhraní API Rights Management, technologie samotná nemůže vždy uživatelům zabránit ve sdílení dat, která by sdílet neměli.As these examples demonstrate, even if all platforms and all software supported the Rights Management APIs to block screen captures, technology alone cannot always prevent users from sharing data that they should not. Služba Rights Management může pomoci s ochranou důležitých dat pomocí autorizace a zásad používání, ale toto řešení správy podnikových práv je nutné používat s dalšími kontrolami.Rights Management can help to safeguard your important data by using authorization and usage policies, but this enterprise rights management solution should be used with other controls. Například implementovat fyzické zabezpečení, pečlivě prověřovat a sledovat uživatele, kteří mají oprávnění přístupu k datům vaší společnosti a investovat do vzdělávání uživatelů, aby pochopili, která data se nesmí sdílet.For example, implement physical security, carefully screen and monitor people who have authorized access to your organization's data, and invest in user education so users understand what data should not be shared.

Jaký je rozdíl mezi uživatele ochranou e-mailu pomocí možnosti Nepředávat dál a šablonou, která nezahrnuje právo Předat dál?What's the difference between a user protecting an email with Do Not Forward and a template that doesn't include the Forward right?

Bez ohledu na název a vzhled není možnost Nepřeposílat opakem práva ani šablony Přeposílat.Despite its name and appearance, Do Not Forward is not the opposite of the Forward right, or a template. Ve skutečnosti je to sada práv, která kromě omezení přeposílání e-mailů zahrnují také omezení kopírování, tisku a ukládání příloh.It is actually a set of rights that include restricting copying, printing, and saving attachments, in addition to restricting the forwarding of emails. Tato práva se prostřednictvím zvolených příjemců uplatňují dynamicky a nejsou staticky přiřazena správcem.The rights are dynamically applied to users via the chosen recipients, and not statically assigned by the administrator. Další informace najdete v části Možnost Nepředávat dál pro e-maily v tématu Konfigurace práv na používání Azure Rights Management.For more information, see the Do Not Forward option for emails section in Configuring usage rights for Azure Rights Management.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.