Plán nasazení služby Azure Information Protection

Platí pro: Azure Information Protection, Office 365

Pomocí následujících kroků můžete připravit, implementovat a spravovat službu Azure Information Protection ve vaší organizaci.

Pokud si ale chcete službu Azure Information Protection jenom sami rychle vyzkoušet a nechcete ji zatím zavádět do produkčního prostředí, podívejte se na Rychlý úvodní kurz pro Azure Information Protection.

Důležité

Před provedením následujících kroků si nezapomeňte projít požadavky služby Azure Information Protection.

Zvolte plán nasazení, který je možné použít ve vaší organizaci a který odpovídá funkcím a prvkům předplatného, které potřebujete:

Plán nasazení pro klasifikaci, štítkování a ochranu

Poznámka

Už službu Azure Rights Management k ochraně dat používáte? Mnoho z těchto kroků můžete přeskočit a soustředit se na kroky 3 a 5.1.

Krok 1: Ověření předplatného a přiřazení uživatelských licencí

Podívejte se na webu Azure Information Protection na informace o předplatném a na seznam funkcí a ověřte, jestli má vaše organizace předplatné, které zahrnuje funkce a prvky, které očekáváte. Pak přiřaďte licenci z tohoto předplatného každému uživateli ve vaší organizaci, který bude klasifikovat, štítkovat a chránit dokumenty a e-maily.

Poznámka: Nepřiřazujte ručně uživatelské licence z bezplatného předplatného RMS pro jednotlivce a nepoužívejte tuto licenci ke správě služby Azure Rights Management pro vaši organizaci. Tyto licence se v Centru pro správu Office 365 zobrazují jako Rights Management Adhoc a při spuštění rutiny Azure AD PowerShellu Get-MsolAccountSku jako RIGHTSMANAGEMENT_ADHOC. Další informace o tom, jak se předplatné RMS pro jednotlivce automaticky uděluje a přiřazuje uživatelům, najdete v tématu RMS pro jednotlivce a Azure Information Protection.

Krok 2: Příprava účtu tenanta pro službu Azure Information Protection

Než začnete službu Azure Information Protection používat, připravte následující:

  • Zkontrolujte, zda máte v Office 365 nebo Azure Active Directory uživatelské účty a skupiny, které bude služba Azure Information Protection používat k ověření uživatelů z vaší organizace. V případě potřeby tyto účty a skupiny vytvořte nebo je synchronizujte ze svého místního adresáře. Další informace najdete v tématu Příprava služby Azure Information Protection.

Krok 3: Konfigurace a nasazení klasifikace a štítkování

Pokud ještě nemáte strategii klasifikace, prohlédněte si výchozí zásady služby Azure Information Protection a použijte je jako základ při rozhodování o tom, jaké klasifikační štítky přiřadíte k datům vaší organizace. Můžete je přizpůsobit, aby splňovaly požadavky vaší firmy.

Překonfigurujte výchozí štítky služby Azure Information Protection a proveďte veškeré změny, které ke svému systému klasifikace potřebujete. Nakonfigurujte zásady ručního štítkování uživateli a sepište pokyny, ve kterých vysvětlíte, který štítek kdy použít. Další informace o tom, jak nakonfigurovat zásady služby Azure Information Protection, najdete v tématu Konfigurace zásad služby Azure Information Protection.

Pak nasaďte klienta služby Azure Information Protection pro uživatele a poskytněte jim podporu tím, že je patřičně proškolíte a předáte jim pokyny, kdy a jak štítky vybírat. Další informace o instalaci a podpoře klienta najdete v článku Příručka pro správce klienta služby Azure Information Protection.

Po určité době, až se uživatelé naučí štítkovat dokumenty a e-maily, jim můžete představit pokročilejší konfigurace. Mezi ně může patřit:

  • Použití výchozího štítku

  • Vybídnutí uživatelů, kteří vybrali štítek s nižší úrovní klasifikace, k uvedení zdůvodnění

  • Nařízení, aby měly všechny dokumenty a e-maily štítek

  • Vlastní záhlaví, zápatí nebo vodoznaky

  • Podmínky pro podporu doporučení a automatického štítkování

V této fázi nevybírejte možnost ochrany dokumentů a e-mailů.

Krok 4: Příprava na ochranu dat Rights Management

Jakmile se uživatelé naučí pohodlně štítkovat dokumenty a e-maily, můžete jim pomalu představit ochranu dat, kterou aplikujete na vaše nejcitlivější data. Tato fáze vyžaduje následující přípravu služby Azure Rights Management:

  1. Rozhodněte, jestli chcete, aby vám klíč tenanta spravoval Microsoft (výchozí nastavení), nebo jestli si klíč tenanta budete chtít vygenerovat a spravovat sami (řešení BYOK, Bring Your Own Key). Poznámka: V současné době nemůžete řešení BYOK používat, pokud používáte Exchange Online. Další informace najdete v článku Plánování a implementace klíče tenanta služby Azure Information Protection.

  2. Minimálně na jednom počítači, který má přístup k internetu, nainstalujte modul prostředí Windows PowerShell pro Služba Rights Management. Tento krok můžete provést hned teď nebo i později. Další informace najdete v článku Instalace prostředí Windows PowerShell pro službu Azure Rights Management.

  3. Pokud aktuálně používáte místní službu Rights Management Services: Provedením migrace přesuňte klíče, šablony a adresy URL do cloudu. Další informace najdete v tématu Migrace z AD RMS na Information Protection.

  4. Aktivujte službu Azure Rights Management, abyste mohli začít chránit dokumenty a e-maily. Pokud je potřeba dvoufázové nasazení, nakonfigurujte kontrolní mechanismy registrace uživatelů, abyste omezili použití na konkrétní uživatele. Další informace najdete v tématu Aktivace Azure Rights Management.

Pak zvažte, jestli nechcete nakonfigurovat následující:

Krok 5: Konfigurace zásad, aplikací a služeb Azure Information Protection pro ochranu dat Rights Management

  1. Aktualizace zásad Azure Information Protection, aby se povolila ochrana dat

    Upravte zásady služby Azure Information Protection tak, aby jeden nebo více štítků aktivoval ochranu Rights Management. Další informace najdete v tématu Konfigurace popisku pro ochranu službou Rights Management.

    Chtěli bychom vás upozornit, že uživatelé můžou použít popisky v Outlooku, které používají ochranu službou Rights Management, a to i tehdy, když není pro Správu přístupových práv k informacím nakonfigurovaný Exchange. Dokud ale nebude pro Správu přístupových práv k informacím nakonfigurovaný Exchange, nebude mít vaše organizace u Exchange k dispozici úplnou funkčnost použití ochrany službou Azure Rights Management. Tato další konfigurace je součástí kroku 3 u Exchange Online a kroku 6 u místního Exchange.

  2. Konfigurace aplikací a služeb Office pro IRM

    Nakonfigurujte aplikace a služby Office pro funkce IRM (Správa přístupových práv k informacím) v systémech SharePoint Online nebo Exchange Online. Další informace najdete v tématu Konfigurace aplikací pro Azure Rights Management.

  3. Konfigurace funkce superuživatele za účelem obnovení dat

    Pokud máte existující služby IT, které musí zkontrolovat soubory, které bude Azure Rights Management chránit (například řešení ochrany před únikem informací, brány šifrování obsahu (CEG) a antimalwarové produkty), nakonfigurujte účty služeb tak, aby měly pro Azure Rights Management práva superuživatele. Další informace najdete v tématu Konfigurace superuživatelů pro službu Azure Rights Management a službu zjišťování nebo pro obnovení dat.

  4. Hromadná klasifikace a ochrana souborů – jak je potřeba

    Powershellové rutiny, které umožňují klasifikovat a chránit soubory, jakož i klasifikaci a ochranu odebrat, se instalují automaticky s klientem služby Azure Information Protection. Další informace najdete v tématu Použití PowerShellu s klientem služby Azure Information Protection z příručky pro správce.

  5. Nasazení konektoru pro místní servery

    Pokud máte místní služby, které chcete používat se službou Azure Rights Management, nainstalujte a nakonfigurujte konektor Rights Management. Další informace najdete v tématu Nasazení konektoru Azure Rights Management.

Krok 4: Použití a sledování řešení ochrany dat

Teď už jste připravení k ochraně vašich dat a můžete vytvářet protokol, jak vaše společnost používá popisky, které jste nakonfigurovali, a ochranu dat Rights Management. Další podpůrné informace k této fázi nasazení najdete v následujících částech:

Pokud byste chtěli automaticky chránit soubory pomocí infrastruktury klasifikace souborů (FCI – File Classification Infrastructure) na serveru se systémem Windows, najdete další informace v tématu Ochrana RMS s infrastrukturou klasifikace souborů pro Windows Server.

Krok 5: Správa služby Rights Management pro účet tenanta podle potřeby

Když začnete používat službu Azure Rights Management, možná vám přijde vhod Windows PowerShell, který se hodí, když chcete používat skripty nebo automatizovat správní změny. Další informace najdete v tématu Správa služby Azure Rights Management pomocí Windows PowerShellu.

Plán nasazení pouze ochrany dat

Krok 1: Ověřte, že máte předplatné, jehož součástí je Azure Rights Management.

Podívejte se na webu Azure Information Protection na informace o předplatném a na seznam funkcí a ověřte, jestli má vaše organizace předplatné, které zahrnuje funkce a prvky, které očekáváte. Pak přiřaďte licenci z tohoto předplatného každému uživateli ve vaší organizaci, který bude chránit dokumenty a e-maily pomocí služby Azure Rights Management.

Poznámka: Nepřiřazujte ručně uživatelské licence z bezplatného předplatného RMS pro jednotlivce a nepoužívejte tuto licenci ke správě služby Azure Rights Management pro vaši organizaci. Tyto licence se v Centru pro správu Office 365 zobrazují jako Rights Management Adhoc a při spuštění rutiny Azure AD PowerShellu Get-MsolAccountSku jako RIGHTSMANAGEMENT_ADHOC. Další informace o tom, jak se předplatné RMS pro jednotlivce automaticky uděluje a přiřazuje uživatelům, najdete v tématu RMS pro jednotlivce a Azure Information Protection.

Krok 2: Příprava účtu tenanta na používání služby Azure Rights Management

Než budete moct Služba Rights Management začít používat, budete muset připravit tyto věci:

  1. Zkontrolujte, že váš tenant Office 365 obsahuje uživatelské účty a skupiny, které bude služba Azure Information Protection používat k ověření uživatelů z vaší organizace. V případě potřeby tyto účty a skupiny vytvořte nebo je synchronizujte ze svého místního adresáře. Další informace najdete v tématu Příprava Azure Rights Management.

  2. Rozhodněte, jestli chcete, aby vám klíč tenanta spravoval Microsoft (výchozí nastavení), nebo jestli si klíč tenanta budete chtít vygenerovat a spravovat sami (řešení BYOK, Bring Your Own Key). Poznámka: V současné době nemůžete řešení BYOK používat, pokud používáte Exchange Online. Další informace najdete v článku Plánování a implementace klíče tenanta služby Azure Information Protection.

  3. Minimálně na jednom počítači, který má přístup k internetu, nainstalujte modul prostředí Windows PowerShell pro Služba Rights Management. Tento krok můžete provést hned teď nebo i později. Další informace najdete v tématu Instalace prostředí Windows PowerShell pro Azure Rights Management.

  4. Pokud aktuálně používáte místní službu Rights Management Services: Provedením migrace přesuňte klíče, šablony a adresy URL do cloudu. Další informace najdete v tématu Migrace z AD RMS na Azure Information Protection.

  5. Aktivujte službu Rights Management, abyste ji mohli začít používat. Pokud je potřeba dvoufázové nasazení, nakonfigurujte kontrolní mechanismy registrace uživatelů, abyste omezili použití na konkrétní uživatele. Další informace najdete v tématu Aktivace Azure Rights Management.

Pak zvažte, jestli nechcete nakonfigurovat následující:

Krok 3: Instalace klienta a konfigurace aplikací a služeb pro Rights Management

  1. Nasazení klienta služby Azure Information Protection

    Nainstalujte Azure Information Protection pro uživatele, aby se podporoval Office 2010, aby se chránily jiné soubory než dokumenty a e-maily Office a aby se mohly sledovat chráněné dokumenty. Poskytněte uživatelům k tomuto klientovi školení. Další informace najdete v článku Klient služby Azure Information Protection pro Windows.

  2. Konfigurace aplikací a služeb Office pro IRM

    Nakonfigurujte aplikace a služby Office pro funkce IRM (Správa přístupových práv k informacím) v systémech SharePoint Online nebo Exchange Online. Další informace najdete v tématu Konfigurace aplikací pro Azure Rights Management.

  3. Konfigurace funkce superuživatele za účelem obnovení dat

    Pokud máte existující služby IT, které musí zkontrolovat soubory, které bude Azure Rights Management chránit (například řešení ochrany před únikem informací, brány šifrování obsahu (CEG) a antimalwarové produkty), nakonfigurujte účty služeb tak, aby měly pro Azure Rights Management práva superuživatele. Další informace najdete v tématu Konfigurace superuživatelů pro službu Azure Rights Management a službu zjišťování nebo pro obnovení dat.

  4. Hromadná ochrana souborů – jak je potřeba

    Powershellové rutiny, které umožňují hromadně chránit více typů souborů nebo hromadně tuto ochranu zrušit, se instalují automaticky s klientem služby Azure Information Protection. Další informace najdete v tématu Použití PowerShellu s klientem služby Azure Information Protection z příručky pro správce.

  5. Nasazení konektoru pro místní servery

    Pokud máte místní služby, které chcete používat se službou Azure Rights Management, nainstalujte a nakonfigurujte konektor Rights Management. Další informace najdete v tématu Nasazení konektoru Azure Rights Management.

Krok 4: Použití a sledování řešení ochrany dat

Teď můžete začít chránit svá data a ukládat do protokolu informace o tom, jak vaše společnost využívá službu Rights Management. Další informace o této fázi nasazení najdete v tématech Pomoc uživatelům při ochraně souborů pomocí služby Azure Rights Management a Protokolování a analýza využití služby Azure Rights Management.

Pokud byste chtěli automaticky chránit soubory pomocí infrastruktury klasifikace souborů (FCI – File Classification Infrastructure) na serveru se systémem Windows, najdete další informace v tématu Ochrana RMS s infrastrukturou klasifikace souborů pro Windows Server.

Krok 5: Správa služby Rights Management pro účet tenanta podle potřeby

Když začnete používat službu Azure Rights Management, možná vám přijde vhod Windows PowerShell, který se hodí, když chcete používat skripty nebo automatizovat správní změny. Další informace najdete v tématu Správa služby Azure Rights Management pomocí Windows PowerShellu.

Komentáře

Před přidáním komentáře se podívejte na naše pravidla organizace.