Příprava uživatelů a skupin pro službu Azure Information ProtectionPreparing users and groups for Azure Information Protection

Platí pro: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Před nasazením Azure Information Protection zkontrolujte, že ve službě Azure AD pro tenanta své organizace máte zřízeny účty pro uživatele a skupiny.Before you deploy Azure Information Protection for your organization, make sure that you have accounts for users and groups in Azure AD for your organization's tenant.

Účty pro uživatele a skupiny můžete vytvořit různými způsoby, například takto:There are different ways to create these accounts for users and groups, which include:

  • Uživatele vytvoříte v Centru pro správu Office 365 a skupiny v Centru pro správu Exchange Online.You create the users in the Office 365 admin center, and the groups in the Exchange Online admin center.

  • Uživatele a skupiny vytvoříte na portálu Azure Portal.You create the users and groups in the Azure portal.

  • Uživatele a skupiny vytvoříte pomocí powershellových rutin Azure AD a Exchange Online.You create the users and group by using Azure AD PowerShell and Exchange Online cmdlets.

  • Uživatele a skupiny vytvoříte v místní službě Active Directory a synchronizujete je s Azure AD.You create the users and groups in your on-premises Active Directory and synchronize them to Azure AD.

  • Uživatele a skupiny vytvoříte v jiném adresáři a synchronizujete je s Azure AD.You create the users and groups in another directory and synchronize them to Azure AD.

Když vytvoříte uživatele a skupiny pomocí některé z prvních tří metod uvedených v tomto seznamu, automaticky se vytvoří účty v Azure AD a Azure Information Protection je může používat přímo.When you create users and groups by using the first three methods from this list, they are automatically created in Azure AD, and Azure Information Protection can use these accounts directly. Mnoho podnikových sítí však k vytvoření a správě uživatelů a skupiny využívá místní adresář.However, many enterprise networks use an on-premises directory to create and manage users and groups. Azure Information Protection nemůže tyto účty používat přímo – musíte je synchronizovat s Azure AD.Azure Information Protection cannot use these accounts directly; you must synchronize them to Azure AD.

Jak Azure Information Protection používá uživatele a skupinyHow users and groups are used by Azure Information Protection

Pro používání uživatelů a skupin pomocí služby Azure Information Protection existují tři scénáře:There are three scenarios for using users and groups with Azure Information Protection:

  • Pro přiřazení popisky uživatelům při použití označování a klasifikace.For assigning labels to users when you use labeling and classification. Pouze správci, vyberte tyto skupiny:Only administrators select these groups:

    • Výchozí zásady Azure Information Protection se automaticky přiřadí všem uživatelům v Azure AD vašeho tenanta.The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. Pomocí vymezených zásad ale můžete také přiřadit popisky konkrétním uživatelům nebo skupinám.However, you can also assign additional labels to specified users or groups by using scoped policies.
  • Pro přiřazení práv k používání a řízení přístupu při ochraně dokumentů a e-mailů pomocí služby Azure Rights Management.For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. Tyto uživatele a skupiny mohou vybrat správci a uživatelé:Administrators and users can select these users and groups:

    • Práva k používání určují to, zda uživatel může otevřít dokument nebo e-mail a jak ho může používat.Usage rights determine whether a user can open a document or email and how they can use it. Určují například to, zda si uživatel může dokument nebo e-mail pouze přečíst, nebo zda si ho může přečíst a vytisknout, případě přečíst a upravit.For example, whether they can only read it, or read and print it, or read and edit it.

    • Řízení přístupu zahrnuje datum vypršení platnosti a zda se k přístupu vyžaduje připojení k internetu.Access controls include an expiry date and whether a connection to the Internet is required for access.

  • Pro konfiguraci služby Azure Rights Management za účelem podpory specifických scénářů. Z tohoto důvodu mohou tyto skupiny vybrat pouze správci.For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. Příklady zahrnují konfiguraci následujících funkcí:Examples include configuring the following:

    • Superuživatelé, aby určené služby nebo uživatelé mohli otevřít šifrovaný obsah, pokud to eDiscovery nebo obnovení dat vyžaduje.Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

    • Delegovaná správa služby Azure RMS Management.Delegated administration of the Azure Rights Management service.

    • Ovládací prvky připojování pro podporu postupného nasazování.Onboarding controls to support a phased deployment.

Pro označování uživatelů popisky při konfiguraci zásad služby Azure Information Protection, aby bylo možné tyto popisky použít u dokumentů a e-mailů.For assigning labels to users when you configure the Azure Information Protection policy so that labels can be applied to documents and emails. Tyto uživatele a skupiny mohou vybrat pouze správci:Only administrators can select these users and groups:

  • Výchozí zásady Azure Information Protection se automaticky přiřadí všem uživatelům v Azure AD vašeho tenanta.The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. Pomocí vymezených zásad ale můžete také přiřadit popisky konkrétním uživatelům nebo skupinám.However, you can also assign additional labels to specified users or groups by using scoped policies.

Pro přiřazení práv k používání a řízení přístupu při ochraně dokumentů a e-mailů pomocí služby Azure Rights Management.For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. Tyto uživatele a skupiny mohou vybrat správci a uživatelé:Administrators and users can select these users and groups:

  • Práva k používání určují to, zda uživatel může otevřít dokument nebo e-mail a jak ho může používat.Usage rights determine whether a user can open a document or email and how they can use it. Určují například to, zda si uživatel může dokument nebo e-mail pouze přečíst, nebo zda si ho může přečíst a vytisknout, případě přečíst a upravit.For example, whether they can only read it, or read and print it, or read and edit it.

  • Řízení přístupu zahrnuje datum vypršení platnosti a zda se k přístupu vyžaduje připojení k internetu.Access controls include an expiry date and whether a connection to the Internet is required for access.

Pro konfiguraci služby Azure Rights Management za účelem podpory specifických scénářů. Z tohoto důvodu mohou tyto skupiny vybrat pouze správci.For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. Příklady zahrnují konfiguraci následujících funkcí:Examples include configuring the following:

  • Superuživatelé, aby určené služby nebo uživatelé mohli otevřít šifrovaný obsah, pokud to eDiscovery nebo obnovení dat vyžaduje.Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

  • Delegovaná správa služby Azure RMS Management.Delegated administration of the Azure Rights Management service.

  • Ovládací prvky připojování pro podporu postupného nasazování.Onboarding controls to support a phased deployment.

Požadavky služby Azure Information Protection na uživatelské účtyAzure Information Protection requirements for user accounts

Pro přiřazení popisků:For assigning labels:

  • Pomocí všech uživatelských účtů v Azure AD můžete nakonfigurovat vymezené zásady, které přiřadí uživatelům další popisky.All user accounts in Azure AD can be used to configure scoped policies that assign additional labels to users.

Pro přiřazení práv k používání a řízení přístupu a konfiguraci služby Azure Rights Management:For assigning usage rights and access controls, and configuring the Azure Rights Management service:

  • K autorizaci uživatelů slouží v Azure AD dva atributy: proxyAddresses a userPrincipalName.To authorize users, two attributes in Azure AD are used: proxyAddresses and userPrincipalName.

  • Atribut Azure AD proxyAddresses uchovává všechny e-mailové adresy účtu a je možné ho naplnit různými způsoby.The Azure AD proxyAddresses attribute stores all email addresses for an account and can be populated in different ways. Uživatel v Office 365, který má poštovní schránku Exchange Online, například automaticky získá e-mailovou adresu uloženou v tomto atributu.For example, a user in Office 365 that has an Exchange Online mailbox automatically has an email address that is stored in this attribute. Pokud uživateli Office 365 přiřadíte alternativní e-mailovou adresu, uloží se daná adresa také v tomto atributu.If you assign an alternative email address for an Office 365 user, it is also saved in this attribute. Atribut můžete naplnit také e-mailovými adresami, které se synchronizují z místních účtů.It can also be populated by the email addresses that are synchronized from on-premises accounts.

    Azure Information Protection může použít libovolnou hodnotu v tomto atributu Azure AD proxyAddresses v případě, že jste doménu přidali do svého tenanta (jedná se o „ověřenou doménu“).Azure Information Protection can use any value in this Azure AD proxyAddresses attribute, providing the domain has been added to your tenant (a "verified domain"). Další informace o ověřování domén:For more information about verifying domains:

  • Atribut Azure AD userPrincipalName se použije, pouze pokud účet ve vašem tenantovi neobsahuje v atributu Azure AD proxyAddresses žádné hodnoty.The Azure AD userPrincipalName attribute is used only when an account in your tenant doesn't have values in the Azure AD proxyAddresses attribute. Vytvoříte například uživatele na portálu Azure Portal, nebo vytvoříte uživatele Office 365, který nemá poštovní schránku.For example, you create a user in the Azure portal, or create a user for Office 365 that doesn't have a mailbox.

Přiřazení práv k používání a řízení přístupu externím uživatelůmAssigning usage rights and access controls to external users

Kromě použití atributů Azure AD proxyAddresses a Azure AD userPrincipalName pro uživatele ve vašem tenantovi používá Azure Information Protection tyto atributy stejným způsobem také k autorizaci uživatelů z jiného tenanta.In addition to using the Azure AD proxyAddresses and Azure AD userPrincipalName for users in your tenant, Azure Information Protection also uses these attributes in the same way to authorize users from another tenant.

Při odesílání e-mailu pomocí šifrování zpráv Office 365 nové možnosti pro uživatele, který nemá účet ve službě Azure AD, nejprve ověření uživatele pomocí federaci se zprostředkovatele sociální identity nebo pomocí jednorázového hesla.When an email is sent by using Office 365 Message Encryption with new capabilities to a user who doesn't have an account in Azure AD, the user is first authenticated by using federation with a social identity provider or by using a one-time passcode. E-mailovou adresu určenou v chráněném e-mailu, bude použit k autorizaci uživatele.Then the email address specified in the protected email is used to authorize the user.

Požadavky služby Azure Information Protection na skupinové účtyAzure Information Protection requirements for group accounts

Pro přiřazení popisků:For assigning labels:

  • Pokud chcete nakonfigurovat zásady s vymezeným oborem přiřazující členům skupiny další popisky, můžete použít libovolný typ skupiny v Azure AD, která má e-mailovou adresu obsahující ověřenou doménu pro tenanta uživatele.To configure scoped policies that assign additional labels to group members, you can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. Skupina, která má e-mailovou adresu, se často označuje jako skupina s povolenou poštou.A group that has an email address is often referred to as a mail-enabled group.

    Můžete například použít skupinu zabezpečení s povolenou poštou, distribuční skupinu (ta může být statická nebo dynamická) a skupinu Office 365.For example, you can use a mail-enabled security group, a distribution group (which can be static or dynamic), and an Office 365 group. Nemůžete použít skupinu zabezpečení (dynamickou ani statickou), protože tento typ skupiny nemá e-mailovou adresu.You cannot use a security group (dynamic or static) because this group type doesn't have an email address.

Pro přiřazení práv k používání a řízení přístupu:For assigning usage rights and access controls:

  • Můžete použít libovolný typ skupiny v Azure AD, která má e-mailovou adresu obsahující ověřenou doménu pro tenanta uživatele.You can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. Skupina, která má e-mailovou adresu, se často označuje jako skupina s povolenou poštou.A group that has an email address is often referred to as a mail-enabled group.

Pro konfiguraci služby Azure Rights Management:For configuring the Azure Rights Management service:

  • Můžete použít libovolný typ skupiny v Azure AD, která má e-mailovou adresu z ověřené domény ve vašem tenantovi, avšak s jednou výjimkou.You can use any type of group in Azure AD that has an email address from a verified domain in your tenant, with one exception. Tou výjimkou je případ, kdy konfigurujete ovládací prvky připojení, abyste mohli používat skupinu, která musí v Azure AD pro vašeho tenanta představovat skupinu zabezpečení.That exception is when you configure onboarding controls to use a group, which must be a security group in Azure AD for your tenant.

  • Můžete použít libovolnou skupinu ve službě Azure AD (s nebo bez e-mailovou adresu) z ověřenou doménu ve vašem klientovi pro delegovanou správu služby Azure Rights Management.You can use any group in Azure AD (with or without an email address) from a verified domain in your tenant for delegated administration of the Azure Rights Management service.

Přiřazení práv k používání a řízení přístupu externím skupinámAssigning usage rights and access controls to external groups

Kromě použití atributů Azure AD proxyAddresses pro skupiny ve vašem tenantovi používá Azure Information Protection tento atribut stejným způsobem také k autorizaci skupin z jiného tenanta.In addition to using the Azure AD proxyAddresses for groups in your tenant, Azure Information Protection also uses this attribute in the same way to authorize groups from another tenant.

Použití účtů z místní služby Active Directory pro Azure Information ProtectionUsing accounts from Active Directory on-premises for Azure Information Protection

Pokud máte účty, které spravujete místně a které chcete používat se službou Azure Information Protection, musíte tyto účty synchronizovat s Azure AD.If you have accounts that are managed on-premises that you want to use with Azure Information Protection, you must synchronize these to Azure AD. Z důvodu snazšího nasazení doporučujeme používat Azure AD Connect.For ease of deployment, we recommend that you use Azure AD Connect. Můžete ale použít libovolnou metodu synchronizace adresáře, s jejíž pomocí docílíte stejného výsledku.However, you can use any directory synchronization method that achieves the same result.

Při synchronizaci účtů není nutné synchronizovat všechny atributy.When you synchronize your accounts, you do not need to synchronize all attributes. Seznam atributů, které je třeba synchronizovat, najdete v části věnované službě Azure RMS v dokumentaci ke službě Azure Active Directory.For a list of the attributes that must be synchronized, see the Azure RMS section from the Azure Active Directory documentation.

V seznamu atributů pro Azure Rights Management uvidíte, že u uživatelů jsou pro synchronizaci povinné atributy místní služby AD mail, proxyAddresses a userPrincipalName.From the attributes list for Azure Rights Management, you see that for users, the on-premises AD attributes of mail, proxyAddresses, and userPrincipalName are required for synchronization. Hodnoty atributů mail a proxyAddresses se synchronizují s atributem Azure AD proxyAddresses.Values for mail and proxyAddresses are synchronized to the Azure AD proxyAddresses attribute. Další informace najdete v článku Naplnění atributu proxyAddresses v Azure ADFor more information, see How the proxyAddresses attribute is populated in Azure AD

Kontrola připravenosti uživatelů a skupin pro službu Azure Information ProtectionConfirming your users and groups are prepared for Azure Information Protection

V prostředí Azure AD PowerShell můžete zkontrolovat, že je možné uživatele a skupiny používat se službou Azure Information Protection.You can use Azure AD PowerShell to confirm that users and groups can be used with Azure Information Protection. V PowerShellu můžete také zkontrolovat, že je možné použít hodnoty, pomocí nichž se mají uživatelé a skupiny autorizovat.You can also use PowerShell to confirm the values that can be used to authorize them.

Pomocí modulu V1 PowerShell pro Azure Active Directory MSOnline v powershellové relaci se například nejprve připojte ke službě a zadejte přihlašovací údaje globálního správce:For example, using the V1 PowerShell module for Azure Active Directory, MSOnline, in a PowerShell session, first connect to the service and supply your global admin credentials:

Connect-MsolService

Poznámka: Pokud tento příkaz nefunguje, můžete spustit Install-Module MSOnline a nainstalovat modul MSOnline.Note: If this command doesn't work, you can run Install-Module MSOnline to install the MSOnline module.

Dále nakonfigurujte powershellovou relaci tak, aby nezkracovala hodnoty:Next, configure your PowerShell session so that it doesn't truncate the values:

$Formatenumerationlimit =-1

Kontrola připravenosti uživatelských účtů pro službu Azure Information ProtectionConfirm user accounts are ready for Azure Information Protection

Pokud chcete zkontrolovat uživatelské účty, spusťte následující příkaz:To confirm the user accounts, run the following command:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Nejprve se přesvědčte, že se zobrazují uživatelé, které chcete použít se službou Azure Information Protection.Your first check is to make sure that the users you want to use with Azure Information Protection are displayed.

Potom zkontrolujte, zda je naplněn sloupec ProxyAddresses.Then check whether the ProxyAddresses column is populated. Pokud se jedná, e-mailu hodnoty v tomto sloupci slouží k autorizaci uživatele pro Azure Information Protection.If it is, the email values in this column can be used to authorize the user for Azure Information Protection.

Pokud sloupec ProxyAddresses není naplněný, použije se k autorizaci uživatele ve službě Azure Rights Management hodnota ve sloupci UserPrincipalName.If the ProxyAddresses column is not populated, the value in the UserPrincipalName is used to authorize the user for the Azure Rights Management service.

Například:For example:

Zobrazovaný názevDisplay Name UserPrincipalNameUserPrincipalName ProxyAddressesProxyAddresses
Jagannath ReddyJagannath Reddy jagannathreddy@contoso.com {}{}
Ankur RoyAnkur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}{SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

V tomto příkladu:In this example:

  • Uživatelský účet Jagannath Reddy se bude autorizovat pomocí jagannathreddy@contoso.com.The user account for Jagannath Reddy will be authorized by jagannathreddy@contoso.com.

  • Uživatelský účet Ankur Roy je možné autorizovat pomocí ankur.roy@contoso.com a ankur.roy@onmicrosoft.contoso.com, ale nikoli pomocí ankurroy@contoso.com.The user account for Ankur Roy can be authorized by using ankur.roy@contoso.com and ankur.roy@onmicrosoft.contoso.com, but not ankurroy@contoso.com.

Ve většině případů odpovídá hodnota UserPrincipalName jedné z hodnot v poli ProxyAddresses.In most cases, the value for UserPrincipalName matches one of the values in the ProxyAddresses field. Toto je doporučená konfigurace, ale pokud nemůžete změnit hlavní název uživatele tak, aby odpovídal e-mailové adrese, musíte provést tento postup:This is the recommended configuration but if you cannot change your UPN to match the email address, you must take the following steps:

  1. Pokud je název domény v hodnotě hlavního názvu uživatele (UPN) ověřenou doménou pro vašeho tenanta Azure AD, přidejte ve službě Azure AD hodnotu hlavního názvu uživatele (UPN) jako další e-mailovou adresu, aby bylo možné hodnotu hlavního názvu uživatele použít pro autorizaci uživatelského účtu ve službě Azure Information Protection.If the domain name in the UPN value is a verified domain for your Azure AD tenant, add the UPN value as another email address in Azure AD so that the UPN value can now be used to authorize the user account for Azure Information Protection.

    Pokud název domény v hodnotě hlavního názvu uživatele (UPN) není pro vašeho tenanta ověřenou doménou, není možné ji použít se službou Azure Information Protection.If the domain name in the UPN value is not a verified domain for your tenant, it cannot be used with Azure Information Protection. Uživatel se ale stále může autorizovat jako člen skupiny za předpokladu, že skupinová e-mailová adresa používá název ověřené domény.However, the user can still be authorized as a member of a group when the group email address uses a verified domain name.

  2. Pokud hlavní název uživatele (UPN) není směrovatelný (například ankurroy@contoso.local), nakonfigurujte uživateli alternativní přihlašovací ID a řekněte mu, jak se má přihlašovat k Office pomocí těchto alternativních přihlašovacích údajů.If the UPN is not routable (for example, ankurroy@contoso.local), configure alternate login ID for users and instruct them how to sign in to Office by using this alternate login. Musíte také nastavit klíč registru pro Office.You must also set a registry key for Office.

    Další informace najdete v článku Konfigurace alternativního přihlašovacího ID a Aplikace Office pravidelně zobrazují výzvu k zadání přihlašovacích údajů k SharePointu Online, OneDrivu a Lyncu Online.For more information, see Configuring Alternate Login ID and Office applications periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online.

Tip

Pomocí rutiny Export-Csv můžete exportovat výsledky do tabulky, abyste si usnadnili správu, například vyhledávání a hromadné úpravy pro import.You can use the Export-Csv cmdlet to export the results to a spreadsheet for easier management, such as searching and bulk-editing for import.

Příklad: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csvFor example: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Kontrola připravenosti skupinových účtů pro službu Azure Information ProtectionConfirm group accounts are ready for Azure Information Protection

Ke kontrole skupinových účtů použijte následující příkaz:To confirm group accounts, use the following command:

Get-MsolGroup | select DisplayName, ProxyAddresses

Přesvědčte se, že se zobrazují skupiny, které chcete použít se službou Azure Information Protection.Make sure that the groups you want to use with Azure Information Protection are displayed. U zobrazených skupin je k autorizaci členů skupiny ve službě Azure Rights Management možné použít e-mailové adresy uvedené ve sloupci ProxyAddresses.For the groups displayed, the email addresses in the ProxyAddresses column can be used to authorize the group members for the Azure Rights Management service.

Potom zkontrolujte, že skupiny obsahují uživatele (nebo jiné skupiny), které chcete používat ve službě Azure Information Protection.Then check that the groups contain the users (or other groups) that you want to use for Azure Information Protection. K tomu můžete využít PowerShell (například Get-MsolGroupMember), můžete to ale také udělat na portálu pro správu.You can use PowerShell to do this (for example, Get-MsolGroupMember), or use your management portal.

Pro dva scénáře konfigurace služby Azure Rights Management, které používají skupiny zabezpečení, můžete pomocí následujícího příkazu PowerShell najít ID objektu a zobrazovaný název identifikující tyto skupiny.For the two Azure Rights Management service configuration scenarios that use security groups, you can use the following PowerShell command to find the object ID and display name that can be used to identify these groups. Můžete také tyto skupiny vyhledat na portálu Azure Portal a zkopírovat hodnoty ID objektu a zobrazovaného názvu:You can also use the Azure portal to find these groups and copy the values for the object ID and the display name:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Důležité informace týkající se služby Azure Information Protection pro případ změny e-mailových adresConsiderations for Azure Information Protection if email addresses change

Pokud změníte e-mailovou adresu uživatele nebo skupiny, doporučujeme, abyste k uživateli nebo skupině přidali starou e-mailovou adresu jako sekundární e-mailovou adresu (nazývá se také adresa proxy, alias nebo alternativní e-mailová adresa).If you change the email address of a user or group, we recommend that you add the old email address as a second email address (also known as a proxy address, alias, or alternate email address) to the user or group. Tím se stará e-mailová adresa přidá do atributu Azure AD proxyAddresses.When you do this, the old email address is added to the Azure AD proxyAddresses attribute. Tato správa účtu zajistí provozní kontinuitu všech práv k používání nebo jiných konfigurací, které se uložily v době, kdy se používala stará e-mailová adresa.This account administration ensures business continuity for any usage rights or other configurations there were saved when the old email address was in use.

Pokud to není možné, riskujete, že uživateli nebo skupině s novou e-mailovou adresou bude odepřen přístup k dokumentům a e-mailům, které jsou už chráněny, a také vznik dalších problémů s nesprávnou konfigurací, která využívá starou hodnotu.If you cannot do this, the user or group with the new email address risks being denied access to documents and emails that were previously protected, and other misconfigurations that used the old value. V takovém případě musíte zopakovat konfiguraci, aby se nová e-mailová adresa uložila.In this case, you must repeat the configuration to save the new email address.

U skupin dochází ke změně e-mailové adresy jen zřídka a pokud přiřadíte práva k používání skupině místo jednotlivým uživatelům, nebude vadit, když se změní e-mailová adresa některého uživatele.Note that it's rare for a group to change its email address and if you assign usage rights to a group rather to than individual users, it doesn't matter if the user's email address changes. V tomto scénáři jsou práva k používání přiřazena skupinové e-mailové adrese, a nikoli e-mailovým adresám jednotlivých uživatelů.In this scenario, the usage rights are assigned to the group email address and not individual user email addresses. Toto je nejpravděpodobnější (a doporučený) způsob, kterým správci budou konfigurovat práva k používání pro ochranu dokumentů a e-mailů.This is the most likely (and recommended) method for an administrator to configure usage rights that protect documents and emails. Uživatelé ale spíše přiřadí vlastní oprávnění jednotlivým uživatelům.However, users might more typically assign custom permissions for individual users. Vzhledem k tomu, že někdy nemusíte vědět, zda byl uživatelskému nebo skupinovému účtu udělen přístup, je nejbezpečnější vždycky přidat starou e-mailovou adresu jako sekundární e-mailovou adresu.Because you cannot always know whether a user account or group has been used to grant access, it's safest to always add the old email address as a second email address.

Ukládání členství ve skupinách do mezipaměti službou Azure Rights ManagementGroup membership caching by Azure Rights Management

Služba Azure Rights Management ukládá kvůli výkonu členství ve skupinách do mezipaměti.For performance reasons, group membership is cached by the Azure Rights Management service. To znamená, že může trvat až 3 hodiny, než se projeví všechny změny členství ve skupinách v Azure AD, pokud tyto skupiny používá služba Azure Rights Management. Toto časové období se může měnit.This means that any changes to group membership in Azure AD can take up to three hours to take effect when these groups are used by Azure Rights Management, and this time period is subject to change.

Nezapomeňte toto zpoždění zohlednit ve všech změnách nebo při testování, když používáte skupiny pro Azure Rights Management, například při přiřazování práv k používání nebo konfiguraci služby Azure Rights Management.Remember to factor this delay into any changes or testing that you do when you use groups for Azure Rights Management, such as assigning usage rights or configuring the Azure Rights Management service.

Další krokyNext steps

Až zkontrolujete, že je možné uživatele a skupiny používat se službou Azure Information Protection a že jste připraveni začít chránit dokumenty a e-maily, aktivujte službu Rights Management a povolte tuto službu ochrany.When you have confirmed that your users and groups can be used with Azure Information Protection and you are ready to start protecting documents and emails, activate the Rights Management service to enable this data protection service. Další informace najdete v tématu Aktivace Azure Rights Management.For more information, see Activating Azure Rights Management.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.