Konfigurace zabezpečené spolupráce dokumentů pomocí Azure Information ProtectionConfiguring secure document collaboration by using Azure Information Protection

*Platí pro: Azure Information Protection, Office 365**Applies to: Azure Information Protection, Office 365*

*Relevantní pro: Azure Information Protection klasického klienta pro Windows.*Relevant for: Azure Information Protection classic client for Windows. Informace o sjednoceném klientovi pro označování najdete v tématu informace o popisech citlivosti v dokumentaci Microsoft 365. *For the unified labeling client, see Learn about sensitivity labels from the Microsoft 365 documentation.*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Obsah tohoto článku poskytuje podporu jenom pro zákazníky s rozšířenou podporou.The content in this article is provided to support customers with extended support only. Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Při použití Azure Information Protection můžete chránit své dokumenty bez obětování spolupráce autorizovaných uživatelů.When you use Azure Information Protection, you can protect your documents without sacrificing collaboration for authorized users. Většina dokumentů, které jeden uživatel vytvoří a potom sdílí s ostatními uživateli pro zobrazení a úpravy, bude obsahovat dokumenty Office z Wordu, Excelu a PowerPointu.The majority of documents that one user creates and then shares with others to view and edit will be Office documents from Word, Excel, and PowerPoint. Tyto dokumenty podporují nativní ochranu, což znamená, že kromě funkcí ochrany autorizace a šifrování také podporuje omezená oprávnění pro přesnější kontrolu.These documents support native protection, which means that in addition to the protection features of authorization and encryption, they also support restricted permission for more fine-grained control.

Tato oprávnění se nazývají práva na používání a zahrnují oprávnění, jako je například zobrazení, úpravy, tisk.These permissions are called usage rights, and include permissions such as view, edit, print. Můžete definovat jednotlivá práva na používání, když je dokument chráněný, nebo můžete definovat seskupení práv k používání, která se nazývají úrovně oprávnění.You can define individual usage rights when a document is protected, or you can define a grouping of usage rights, called permission levels. Úrovně oprávnění usnadňují výběr práv na používání, která se obvykle používají společně, například kontrolor a spoluautor.Permission levels make it easier to select usage rights that are typically used together, for example, Reviewer and Co-Author. Další informace o právech na používání a úrovních oprávnění najdete v tématu Konfigurace práv na používání pro Azure Information Protection.For more information about usage rights and permission levels, see Configuring usage rights for Azure Information Protection.

Při konfiguraci těchto oprávnění můžete určit uživatele, pro které jsou:When you configure these permissions, you can specify which users they are for:

  • Pro uživatele ve vaší organizaci nebo jiné organizaci, která používá Azure Active Directory: můžete zadat uživatelské účty Azure AD, skupiny Azure AD nebo všechny uživatele v této organizaci.For users in your own organization or another organization that uses Azure Active Directory: You can specify Azure AD user accounts, Azure AD groups, or all users in that organization.

  • Pro uživatele, kteří nemají účet Azure Active Directory: Zadejte e-mailovou adresu, která se bude používat s účet Microsoft.For users who do not have an Azure Active Directory account: Specify an email address that will be used with a Microsoft account. Tento účet už může existovat, nebo ho uživatelé můžou vytvořit v době, kdy otevřou chráněný dokument.This account can already exist, or users can create it at the time they open the protected document.

    Chcete-li otevřít dokumenty s účet Microsoft, uživatelé musí používat aplikace Microsoft 365 (Klikni a spusť).To open documents with a Microsoft account, users must use Microsoft 365 apps (Click-to-Run). Jiné edice a verze Office ještě nepodporují otevírání chráněných dokumentů Office s účet Microsoft.Other Office editions and versions do not yet support opening Office protected documents with a Microsoft account.

  • Pro každého ověřeného uživatele: Tato možnost je vhodná, pokud nepotřebujete řídit přístup k chráněnému dokumentu, aby bylo možné uživatele ověřit.For any authenticated user: This option is suitable for when you don't need to control who accesses the protected document, providing the user can be authenticated. Ověřování může být prostřednictvím služby Azure AD, pomocí účet Microsoft nebo dokonce Spojeného rodného poskytovatele nebo jednorázového hesla, pokud je obsah chráněn novými funkcemi šifrování zpráv Office 365.The authentication can be by Azure AD, by using a Microsoft account, or even a federated social provider or one-time passcode when the content is protected by the new capabilities of Office 365 Message Encryption.

Jako správce můžete nakonfigurovat Azure Information Protection popisek pro použití oprávnění a autorizovaných uživatelů.As an administrator, you can configure an Azure Information Protection label to apply the permissions and authorized users. Tato konfigurace usnadňuje uživatelům a jiným správcům použití správného nastavení ochrany, protože stačí pouze použít popisek bez zadání jakýchkoli podrobností.This configuration makes it very easy for users and other administrators to apply the correct protection settings, because they simply apply the label without having to specify any details. Následující části obsahují příklad postupu pro ochranu dokumentu, který podporuje zabezpečenou spolupráci s interními a externími uživateli.The following sections provide an example walk through to protect a document that supports secure collaboration with internal and external users.

Ukázková konfigurace popisku pro použití ochrany pro podporu interní a externí spolupráceExample configuration for a label to apply protection to support internal and external collaboration

Tento příklad projde konfigurací existujícího popisku pro použití ochrany, aby uživatelé z vaší organizace mohli spolupracovat na dokumentech se všemi uživateli z jiné organizace, která má Microsoft 365 nebo Azure AD, skupinu z jiné organizace, která má Microsoft 365 nebo Azure AD, a uživatele, který nemá účet ve službě Azure AD, a místo toho použije e-mailovou adresu gmail.This example walks through configuring an existing label to apply protection so that users from your organization can collaborate on documents with all users from another organization that has Microsoft 365 or Azure AD, a group from a different organization that has Microsoft 365 or Azure AD, and a user who doesn't have an account in Azure AD and instead will use their Gmail email address.

Vzhledem k tomu, že scénář omezuje přístup ke konkrétním lidem, nezahrnuje nastavení pro žádné ověřené uživatele.Because the scenario restricts access to specific people, it does not include the setting for any authenticated users. Příklad toho, jak můžete pomocí tohoto nastavení nakonfigurovat popisek, najdete v části Příklad 5: popisek, který šifruje obsah, ale neomezuje přístup k němu.For an example of how you can configure a label with this setting, see Example 5: Label that encrypts content but doesn't restrict who can access it.

  1. Vyberte svůj popisek, který už je v globálních zásadách nebo zásadách s vymezeným oborem.Select your label that's already in the global policy or a scoped policy. V podokně ochrana zkontrolujte, že je vybraná možnost Azure (Cloud Key) .On the Protection pane, make sure Azure (cloud key) is selected.

  2. Ujistěte se, že je vybraná možnost nastavit oprávnění , a pak vyberte Přidat oprávnění.Make sure Set permissions is selected, and select Add permissions.

  3. V podokně Přidat oprávnění :On the Add permissions pane:

    • Pro interní skupinu: vyberte Procházet adresář a vyberte skupinu, která musí být povolená e-mailem.For your internal group: Select Browse directory to select the group, which must be email-enabled.

    • Pro všechny uživatele v první externí organizaci: vyberte zadat podrobnosti a zadejte název domény v tenantovi organizace.For all users in the first external organization: Select Enter details and type the name of a domain in the organization's tenant. Například fabrikam.com.For example, fabrikam.com.

    • Pro skupinu ve druhé externí organizaci: pořád na kartě zadat podrobnosti zadejte e-mailovou adresu skupiny v tenantovi organizace.For the group in the second external organization: Still on the Enter details tab, type the email address of the group in the organization's tenant. Například, sales@contoso.com.For example, sales@contoso.com.

    • Pro uživatele, který nemá účet Azure AD: pořád na kartě zadat podrobnosti zadejte e-mailovou adresu uživatele.For the user who doesn't have an Azure AD account: Still on the Enter details tab, type the user's email address. Například, bengi.turan@gmail.com.For example, bengi.turan@gmail.com.

  4. Chcete-li všem těmto uživatelům udělit stejná oprávnění: pro možnost zvolit oprávnění z předvolby vyberte možnost spoluvlastník, spoluautor, kontrolor nebo vlastní a vyberte oprávnění, která chcete udělit.To grant the same permissions to all these users: For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    Například vaše konfigurovaná oprávnění mohou vypadat podobně jako následující:For example, your configured permissions might look similar to the following:

    Konfigurace oprávnění pro zabezpečenou spolupráci

  5. V podokně Přidat oprávnění klikněte na OK .Click OK on the Add permissions pane.

  6. V podokně ochrana klikněte na tlačítko OK.On the Protection pane, click OK.

  7. V podokně popisek vyberte Uložit.On the Label pane, select Save.

Použití popisku, který podporuje zabezpečenou spolupráciApplying the label that supports secure collaboration

Teď, když je tento popisek nakonfigurovaný, se dá použít pro dokumenty mnoha různými způsoby, které zahrnují následující:Now that this label is configured, it can be applied to documents in a number of ways that include the following:

Různé způsoby použití popiskuDifferent ways to apply the label Další informaceMore information
Uživatel ručně vybere popisek, když se v aplikaci Office vytvoří dokument.A user manually selects the label when the document is created in their Office application. Uživatelé vyberou popisek z tlačítka chránit na pásu karet Office nebo na panelu Azure Information Protection.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar.
Při uložení nového dokumentu se uživatelům zobrazí výzva k výběru popisku.Users are prompted to select a label when a new document is saved. Nakonfigurovali jste nastavení zásad Azure Information Protection s názvem všechny dokumenty a e-maily musí mít popisek.You've configured the Azure Information Protection policy setting named All documents and emails must have a label.
Uživatel sdílení dokumentu e-mailem a ručně vybere popisek v Outlooku.A user shares the document by email and manually selects the label in Outlook. Uživatelé vyberou popisek z tlačítka chránit na pásu karet Office nebo z panelu Azure Information Protection a připojený dokument se automaticky chrání stejným nastavením.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar, and the attached document is automatically protected with the same settings.
Správce použije k dokumentu popisek pomocí PowerShellu.An administrator applies the label to the document by using PowerShell. Použijte rutinu set-AIPFileLabel pro použití popisku na konkrétní dokument nebo všechny dokumenty ve složce.Use the Set-AIPFileLabel cmdlet to apply the label to a specific document or all documents in a folder.
Navíc jste nakonfigurovali popisek pro použití automatické klasifikace, která se teď dá použít pomocí Azure Information Protectionho skeneru nebo PowerShellu.You have additionally configured the label to apply automatic classification that can now be applied by using the Azure Information Protection scanner, or PowerShell. Podívejte se, jak nakonfigurovat podmínky pro automatickou a doporučenou klasifikaci pro Azure Information Protection.See How to configure conditions for automatic and recommended classification for Azure Information Protection.

Chcete-li dokončit tento návod, ručně použijte popisek při vytváření dokumentu v aplikaci Office:To complete this walkthrough, manually apply the label when you create the document in your Office application:

  1. Pokud v klientském počítači už máte aplikaci Office otevřenou, nejprve ji zavřete a znovu otevřete, abyste získali nejnovější změny zásad, které zahrnují nově nakonfigurovaný popisek.On a client computer, if you already have your Office application open, first close and reopen it to get the latest policy changes that include your newly configured label.

  2. Použijte popisek na dokument a uložte ho.Apply the label to a document, and save it.

Sdílejte chráněný dokument tím, že ho připojíte k e-mailu a odešlete ho osobám, které jste povolili k úpravám dokumentu.Share the protected document by attaching it to an email, and send it to the people you authorized to edit the document.

Otevření a úprava chráněného dokumentuOpening and editing the protected document

Když uživatelé, kterým jste oprávnění otevřeli dokument pro úpravy, otevře dokument s informační banner, který je informuje o tom, že oprávnění jsou omezená.When users that you authorized open the document for editing, the document opens with an information banner that informs them that permissions are restricted. Například:For example:

Příklad informačního proužku Azure Information Protection oprávnění

Pokud si vyberou tlačítko Zobrazit oprávnění , uvidí oprávnění.If they select the View Permission button, they see the permissions that they have. V následujícím příkladu může uživatel zobrazit a upravit dokument:In the following example, the user can view and edit the document:

Příklad dialogového okna Azure Information Protection oprávnění

Poznámka: Pokud je dokument otevřen externími uživateli, kteří používají také Azure Information Protection, aplikace Office nezobrazí popisek klasifikace pro dokument, i když jakékoli vizuální označení z popisku zůstane.Note: If the document is opened by external users who are also using Azure Information Protection, the Office application does not display your classification label for the document, although any visual markings from the label remain. Místo toho mohou externí uživatelé použít vlastní popisek v souladu s taxonomií klasifikace organizace.Instead, external users can apply their own label in line with their organization's classification taxonomy. Pokud si pak tito externí uživatelé odešlou upravený dokument zpátky, Office při opětovném otevření dokumentu zobrazí původní popisek klasifikace.If these external users then send back the edited document to you, Office displays your original classification label when you reopen the document.

Před otevřením chráněného dokumentu dojde k jednomu z následujících toků ověřování:Before the protected document opens, one of the following authentication flows happen:

  • Pro uživatele, kteří mají účet Azure AD, používají přihlašovací údaje Azure AD k ověření službou Azure AD a dokument se otevře.For the users who have an Azure AD account, they use their Azure AD credentials to be authenticated by Azure AD, and the document opens.

  • Pro uživatele, který nemá účet Azure AD, pokud není přihlášený k Office pomocí účtu, který má oprávnění k otevření dokumentu, uvidí stránku účty .For the user who doesn't have an Azure AD account, if they are not signed in to Office with an account that has permissions to open the document, they see the Accounts page.

    Na stránce účty vyberte Přidat účet:On the Accounts page, select Add Account:

    Přidání účet Microsoft k otevření chráněného dokumentu

    Na přihlašovací stránce vyberte vytvořit jednu!.On the Sign in page, select Create one! a podle pokynů vytvořte novou účet Microsoft s e-mailovou adresou, kterou jste použili pro udělení oprávnění:and follow the prompts to create a new Microsoft account with the email address that was used to grant the permissions:

    Vytváření účet Microsoft pro otevření chráněného dokumentu

    Když se vytvoří nový účet Microsoft, místní účet se přepne na tento nový účet Microsoft a uživatel pak může dokument otevřít.When the new Microsoft account is created, the local account switches to this new Microsoft account and the user can then open the document.

Podporované scénáře otevírání chráněných dokumentůSupported scenarios for opening protected documents

Následující tabulka uvádí různé metody ověřování, které jsou podporované pro prohlížení a úpravy chráněných dokumentů.The following table summaries the different authentication methods that are supported for viewing and editing protected documents.

Kromě toho podporují následující scénáře zobrazení dokumentů:In addition, the following scenarios support viewing documents:

  • Azure Information Protection Viewer pro Windows a iOS a Android může otevřít soubory pomocí účet Microsoft.The Azure Information Protection viewer for Windows, and for iOS and Android can open files by using a Microsoft account.

  • Prohlížeč může otevřít chráněné přílohy, pokud se pro ověřování pomocí Exchange Online a jednorázová hesla používají pro ověřování pomocí Exchange Online a nové funkce šifrování zpráv Office 365.A browser can open protected attachments when social providers and one-time passcodes are used for authentication with Exchange Online and the new capabilities from Office 365 Message Encryption.

Platformy pro prohlížení a úpravy dokumentů:Platforms for viewing and editing documents:
Word, Excel, PowerPointWord, Excel, PowerPoint
Metoda ověřování:Authentication method:
Azure ADAzure AD
Metoda ověřování:Authentication method:
Účet MicrosoftMicrosoft account
WindowsWindows Ano [1]Yes [1] Ano (Microsoft 365 aplikace a systém Microsoft Office 2019)Yes (Microsoft 365 apps and Microsoft Office 2019)
iOSiOS Ano [1]Yes [1] Ano (verze 2,42 a vyšší)Yes (version 2.42 and higher)
AndroidAndroid Ano [1]Yes [1] Ano (verze 16.0.13029 a vyšší)Yes (version 16.0.13029 and higher)
MacOSMacOS Ano [1]Yes [1] Ano (Microsoft 365 aplikace, verze 16,42 a vyšší)Yes (Microsoft 365 apps, version 16.42 and higher)
Poznámka pod čarou 1Footnote 1

Podporuje uživatelské účty, skupiny s povoleným e-mailem, všichni členové.Supports user accounts, email-enabled groups, all members. Uživatelské účty a skupiny s povoleným e-mailem můžou zahrnovat účty hostů.User accounts and email-enabled groups can include guest accounts. Všichni členové vylučují účty hostů.All members exclude guest accounts.

Další krokyNext steps

Podívejte se na další Příklady konfigurací , které se použijí pro použití ochrany pro běžné scénáře.See other example configurations for labels to apply protection for common scenarios. Tento článek také obsahuje další podrobnosti o nastavení ochrany.This article also contains more details about the protection settings.

Další informace o dalších možnostech a nastavení, které můžete nakonfigurovat pro svůj popisek, najdete v tématu Konfigurace zásad Azure Information Protection.For more information about the other options and settings that you can configure for your label, see Configuring Azure Information Protection policy.

Popisek, který byl nakonfigurován v tomto článku, vytvoří také šablonu ochrany se stejným názvem.The label that was configured in this article also creates a protection template by the same name. Pokud máte aplikace a služby, které se integrují se šablonami ochrany z Azure Information Protection, můžou tuto šablonu použít.If you have applications and services that integrate with protection templates from Azure Information Protection, they can apply this template. Například řešení pro ochranu před únikem informací a pravidla toku pošty.For example, DLP solutions and mail flow rules. V Outlooku na webu se automaticky zobrazí šablony ochrany z Azure Information Protection globální zásady.Outlook on the web automatically displays protection templates from the Azure Information Protection global policy.