Příprava uživatelů a skupin pro službu Azure Information Protection

Platí pro: Azure Information Protection, Office 365

Před nasazením Azure Information Protection zkontrolujte, že ve službě Azure AD pro tenanta své organizace máte zřízeny účty pro uživatele a skupiny.

Účty pro uživatele a skupiny můžete vytvořit různými způsoby, například takto:

  • Uživatele vytvoříte v Centru pro správu Office 365 a skupiny v Centru pro správu Exchange Online.

  • Uživatele a skupiny vytvoříte na portálu Azure Portal.

  • Uživatele a skupiny vytvoříte pomocí powershellových rutin Azure AD a Exchange Online.

  • Uživatele a skupiny vytvoříte v místní službě Active Directory a synchronizujete je s Azure AD.

  • Uživatele a skupiny vytvoříte v jiném adresáři a synchronizujete je s Azure AD.

Když vytvoříte uživatele a skupiny pomocí některé z prvních tří metod uvedených v tomto seznamu, automaticky se vytvoří účty v Azure AD a Azure Information Protection je může používat přímo. Mnoho podnikových sítí však k vytvoření a správě uživatelů a skupiny využívá místní adresář. Azure Information Protection nemůže tyto účty používat přímo – musíte je synchronizovat s Azure AD.

Jak Azure Information Protection používá uživatele a skupiny

Pro používání uživatelů a skupin pomocí služby Azure Information Protection existují tři scénáře:

Pro označování uživatelů popisky při konfiguraci zásad služby Azure Information Protection, aby bylo možné tyto popisky použít u dokumentů a e-mailů. Tyto uživatele a skupiny mohou vybrat pouze správci:

  • Výchozí zásady Azure Information Protection se automaticky přiřadí všem uživatelům v Azure AD vašeho tenanta. Pomocí vymezených zásad ale můžete také přiřadit popisky konkrétním uživatelům nebo skupinám.

Pro přiřazení práv k používání a řízení přístupu při ochraně dokumentů a e-mailů pomocí služby Azure Rights Management. Tyto uživatele a skupiny mohou vybrat správci a uživatelé:

  • Práva k používání určují to, zda uživatel může otevřít dokument nebo e-mail a jak ho může používat. Určují například to, zda si uživatel může dokument nebo e-mail pouze přečíst, nebo zda si ho může přečíst a vytisknout, případě přečíst a upravit.

  • Řízení přístupu zahrnuje datum vypršení platnosti a zda se k přístupu vyžaduje připojení k internetu.

Pro konfiguraci služby Azure Rights Management za účelem podpory specifických scénářů. Z tohoto důvodu mohou tyto skupiny vybrat pouze správci. Příklady zahrnují konfiguraci následujících funkcí:

  • Superuživatelé, aby určené služby nebo uživatelé mohli otevřít šifrovaný obsah, pokud to eDiscovery nebo obnovení dat vyžaduje.

  • Delegovaná správa služby Azure RMS Management.

  • Ovládací prvky připojování pro podporu postupného nasazování.

Požadavky služby Azure Information Protection na uživatelské účty

Pro přiřazení popisků:

  • Pomocí všech uživatelských účtů v Azure AD můžete nakonfigurovat vymezené zásady, které přiřadí uživatelům další popisky.

Pro přiřazení práv k používání a řízení přístupu a konfiguraci služby Azure Rights Management:

  • K autorizaci uživatelů slouží v Azure AD dva atributy: proxyAddresses a userPrincipalName.

  • Atribut Azure AD proxyAddresses uchovává všechny e-mailové adresy účtu a je možné ho naplnit různými způsoby. Uživatel v Office 365, který má poštovní schránku Exchange Online, například automaticky získá e-mailovou adresu uloženou v tomto atributu. Pokud uživateli Office 365 přiřadíte alternativní e-mailovou adresu, uloží se daná adresa také v tomto atributu. Atribut můžete naplnit také e-mailovými adresami, které se synchronizují z místních účtů.

    Azure Information Protection může použít libovolnou hodnotu v tomto atributu Azure AD proxyAddresses v případě, že jste doménu přidali do svého tenanta (jedná se o „ověřenou doménu“). Další informace o ověřování domén:

  • Atribut Azure AD userPrincipalName se použije, pouze pokud účet ve vašem tenantovi neobsahuje v atributu Azure AD proxyAddresses žádné hodnoty. Vytvoříte například uživatele na portálu Azure Portal, nebo vytvoříte uživatele Office 365, který nemá poštovní schránku.

Přiřazení práv k používání a řízení přístupu externím uživatelům

Kromě použití atributů Azure AD proxyAddresses a Azure AD userPrincipalName pro uživatele ve vašem tenantovi používá Azure Information Protection tyto atributy stejným způsobem také k autorizaci uživatelů z jiného tenanta.

Požadavky služby Azure Information Protection na skupinové účty

Pro přiřazení popisků:

  • Pomocí libovolného typu skupiny v Azure AD můžete nakonfigurovat vymezené zásady, které přiřadí členům skupiny další popisky.

Pro přiřazení práv k používání a řízení přístupu:

  • Můžete použít libovolný typ skupiny v Azure AD, která má e-mailovou adresu obsahující ověřenou doménu pro tenanta uživatele. Skupina, která má e-mailovou adresu, se často označuje jako skupina s povolenou poštou.

    Můžete například použít skupinu zabezpečení s povolenou poštou, distribuční skupinu (ta může být statická nebo dynamická) a skupinu Office 365. Nemůžete použít skupinu zabezpečení (dynamickou ani statickou), protože tento typ skupiny nemá e-mailovou adresu.

Pro konfiguraci služby Azure Rights Management:

  • Můžete použít libovolný typ skupiny v Azure AD, která má e-mailovou adresu z ověřené domény ve vašem tenantovi, avšak s jednou výjimkou. Tou výjimkou je případ, kdy konfigurujete ovládací prvky připojení, abyste mohli používat skupinu, která musí v Azure AD pro vašeho tenanta představovat skupinu zabezpečení.

  • Pro delegovanou správu služby Azure Rights Management můžete použít libovolný typ skupiny v Azure AD (s e-mailovou adresou nebo bez ní) z ověřené domény ve vašem tenantovi.

Přiřazení práv k používání a řízení přístupu externím skupinám

Kromě použití atributů Azure AD proxyAddresses pro skupiny ve vašem tenantovi používá Azure Information Protection tento atribut stejným způsobem také k autorizaci skupin z jiného tenanta.

Použití účtů z místní služby Active Directory pro Azure Information Protection

Pokud máte účty, které spravujete místně a které chcete používat se službou Azure Information Protection, musíte tyto účty synchronizovat s Azure AD. Z důvodu snazšího nasazení doporučujeme používat Azure AD Connect. Můžete ale použít libovolnou metodu synchronizace adresáře, s jejíž pomocí docílíte stejného výsledku.

Při synchronizaci účtů není nutné synchronizovat všechny atributy. Seznam atributů, které je třeba synchronizovat, najdete v části věnované službě Azure RMS v dokumentaci ke službě Azure Active Directory.

V seznamu atributů pro Azure Rights Management uvidíte, že u uživatelů jsou pro synchronizaci povinné atributy místní služby AD mail, proxyAddresses a userPrincipalName. Hodnoty atributů mail a proxyAddresses se synchronizují s atributem Azure AD proxyAddresses. Další informace najdete v článku Naplnění atributu proxyAddresses v Azure AD

Kontrola připravenosti uživatelů a skupin pro službu Azure Information Protection

V prostředí Azure AD PowerShell můžete zkontrolovat, že je možné uživatele a skupiny používat se službou Azure Information Protection. V PowerShellu můžete také zkontrolovat, že je možné použít hodnoty, pomocí nichž se mají uživatelé a skupiny autorizovat.

Pomocí modulu V1 PowerShell pro Azure Active Directory MSOnline v powershellové relaci se například nejprve připojte ke službě a zadejte přihlašovací údaje globálního správce:

Connect-MsolService

Poznámka: Pokud tento příkaz nefunguje, můžete spustit Install-Module MSOnline a nainstalovat modul MSOnline.

Dále nakonfigurujte powershellovou relaci tak, aby nezkracovala hodnoty:

$Formatenumerationlimit =-1

Kontrola připravenosti uživatelských účtů pro službu Azure Information Protection

Pokud chcete zkontrolovat uživatelské účty, spusťte následující příkaz:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Nejprve se přesvědčte, že se zobrazují uživatelé, které chcete použít se službou Azure Information Protection.

Potom zkontrolujte, zda je naplněn sloupec ProxyAddresses. Pokud ano, je možné hodnoty e-mailu v tomto sloupci používat k autorizaci uživatelů ve službě Azure Rights Management.

Pokud sloupec ProxyAddresses není naplněn, použije se k autorizaci uživatele ve službě Azure Rights Management hodnota ve sloupci UserPrincipalName.

Například:

Zobrazovaný název UserPrincipalName ProxyAddresses
Jagannath Reddy jagannathreddy@contoso.com {}
Ankur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

V tomto příkladu:

  • Uživatelský účet Jagannath Reddy se bude autorizovat pomocí jagannathreddy@contoso.com.

  • Uživatelský účet Ankur Roy je možné autorizovat pomocí ankur.roy@contoso.com a ankur.roy@onmicrosoft.contoso.com, ale nikoli pomocí ankurroy@contoso.com.

Ve většině případů bude hodnota UserPrincipalName odpovídat jedné z hodnot v poli ProxyAddresses. Toto je doporučená konfigurace, ale pokud nemůžete změnit hlavní název uživatele tak, aby odpovídal e-mailové adrese, musíte provést tento postup:

  1. Pokud je název domény v hodnotě hlavního názvu uživatele (UPN) ověřenou doménou pro vašeho tenanta Azure AD, přidejte ve službě Azure AD hodnotu hlavního názvu uživatele (UPN) jako další e-mailovou adresu, aby bylo možné hodnotu hlavního názvu uživatele použít pro autorizaci uživatelského účtu ve službě Azure Information Protection.

    Pokud název domény v hodnotě hlavního názvu uživatele (UPN) není pro vašeho tenanta ověřenou doménou, není možné ji použít se službou Azure Information Protection. Uživatel se ale stále může autorizovat jako člen skupiny za předpokladu, že skupinová e-mailová adresa používá název ověřené domény.

  2. Pokud hlavní název uživatele (UPN) není směrovatelný (například ankurroy@contoso.local), nakonfigurujte uživateli alternativní přihlašovací ID a řekněte mu, jak se má přihlašovat k Office pomocí těchto alternativních přihlašovacích údajů. Musíte také nastavit klíč registru pro Office.

    Další informace najdete v článku Konfigurace alternativního přihlašovacího ID a Aplikace Office pravidelně zobrazují výzvu k zadání přihlašovacích údajů k SharePointu Online, OneDrivu a Lyncu Online.

Tip

Pomocí rutiny Export-Csv můžete exportovat výsledky do tabulky, abyste si usnadnili správu, například vyhledávání a hromadné úpravy pro import.

Příklad: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Kontrola připravenosti skupinových účtů pro službu Azure Information Protection

Ke kontrole skupinových účtů použijte následující příkaz:

Get-MsolGroup | select DisplayName, ProxyAddresses

Přesvědčte se, že se zobrazují skupiny, které chcete použít se službou Azure Information Protection. U zobrazených skupin je k autorizaci členů skupiny ve službě Azure Rights Management možné použít e-mailové adresy uvedené ve sloupci ProxyAddresses.

Potom zkontrolujte, že skupiny obsahují uživatele (nebo jiné skupiny), které chcete používat ve službě Azure Information Protection. K tomu můžete využít PowerShell (například Get-MsolGroupMember), můžete to ale také udělat na portálu pro správu.

Pro dva scénáře konfigurace služby Azure Rights Management, které používají skupiny zabezpečení, můžete pomocí následujícího příkazu PowerShell najít ID objektu a zobrazovaný název identifikující tyto skupiny. Můžete také tyto skupiny vyhledat na portálu Azure Portal a zkopírovat hodnoty ID objektu a zobrazovaného názvu:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Důležité informace týkající se služby Azure Information Protection pro případ změny e-mailových adres

Pokud změníte e-mailovou adresu uživatele nebo skupiny, doporučujeme, abyste k uživateli nebo skupině přidali starou e-mailovou adresu jako sekundární e-mailovou adresu (nazývá se také adresa proxy, alias nebo alternativní e-mailová adresa). Tím se stará e-mailová adresa přidá do atributu Azure AD proxyAddresses. Tato správa účtu zajistí provozní kontinuitu všech práv k používání nebo jiných konfigurací, které se uložily v době, kdy se používala stará e-mailová adresa.

Pokud to není možné, riskujete, že uživateli nebo skupině s novou e-mailovou adresou bude odepřen přístup k dokumentům a e-mailům, které jsou už chráněny, a také vznik dalších problémů s nesprávnou konfigurací, která využívá starou hodnotu. V takovém případě musíte zopakovat konfiguraci, aby se nová e-mailová adresa uložila.

U skupin dochází ke změně e-mailové adresy jen zřídka a pokud přiřadíte práva k používání skupině místo jednotlivým uživatelům, nebude vadit, když se změní e-mailová adresa některého uživatele. V tomto scénáři jsou práva k používání přiřazena skupinové e-mailové adrese, a nikoli e-mailovým adresám jednotlivých uživatelů. Toto je nejpravděpodobnější (a doporučený) způsob, kterým správci budou konfigurovat práva k používání pro ochranu dokumentů a e-mailů. Uživatelé ale spíše přiřadí vlastní oprávnění jednotlivým uživatelům. Vzhledem k tomu, že někdy nemusíte vědět, zda byl uživatelskému nebo skupinovému účtu udělen přístup, je nejbezpečnější vždycky přidat starou e-mailovou adresu jako sekundární e-mailovou adresu.

Ukládání členství ve skupinách do mezipaměti službou Azure Rights Management

Služba Azure Rights Management ukládá kvůli výkonu členství ve skupinách do mezipaměti. To znamená, že může trvat až 3 hodiny, než se projeví všechny změny členství ve skupinách v Azure AD, pokud tyto skupiny používá služba Azure Rights Management. Toto časové období se může měnit.

Nezapomeňte toto zpoždění zohlednit ve všech změnách nebo při testování, když používáte skupiny pro Azure Rights Management, například při přiřazování práv k používání nebo konfiguraci služby Azure Rights Management.

Další kroky

Až zkontrolujete, že je možné uživatele a skupiny používat se službou Azure Information Protection a že jste připraveni začít chránit dokumenty a e-maily, aktivujte službu Rights Management a povolte tuto službu ochrany. Další informace najdete v tématu Aktivace Azure Rights Management.

Komentáře

Před přidáním komentáře se podívejte na naše pravidla organizace.