Konfigurace zabezpečené spolupráce na dokumentech pomocí Azure Information Protection

  • Článek

Když používáte Azure Information Protection, můžete svoje dokumenty chránit, aniž byste museli obětovat spolupráci pro oprávněné uživatele. Většina dokumentů, které jeden uživatel vytvoří a pak sdílí s ostatními, aby mohli prohlížet a upravovat, budou Office dokumenty z Wordu, Excel a PowerPoint. Tyto dokumenty podporují nativní ochranu, což znamená, že kromě funkcí ochrany autorizace a šifrování podporují také omezená oprávnění pro podrobnější kontrolu.

Tato oprávnění se označují jako práva k používání a zahrnují oprávnění, jako je zobrazení, úpravy, tisk. Individuální práva k používání můžete definovat, když je dokument chráněný, nebo můžete definovat seskupení práv k používání, označované jako úrovně oprávnění. Úrovně oprávnění usnadňují výběr práv k používání, která se obvykle používají společně, například revidujícím a spoluvytvářem. Další informace o právech k používání a úrovních oprávnění najdete v tématu Konfigurace práv k používání pro Azure Information Protection.

Při konfiguraci těchto oprávnění můžete určit, pro které uživatele mají:

  • Pro uživatele ve vaší vlastní organizaci nebo jiné organizaci, která používá Azure Active Directory: Můžete zadat Azure AD uživatelských účtů, Azure AD skupin nebo všech uživatelů v této organizaci.

  • Pro uživatele, kteří nemají účet Azure Active Directory: Zadejte e-mailovou adresu, která se použije s účtem Microsoft. Tento účet už může existovat nebo ho uživatelé můžou vytvořit v době, kdy otevřou chráněný dokument.

    Pokud chcete otevřít dokumenty s účtem Microsoft, musí uživatelé používat Microsoft 365 aplikace (Klikni a spusť). Jiné Office edice a verze zatím nepodporují otevírání Office chráněných dokumentů pomocí účtu Microsoft.

  • Pro každého ověřeného uživatele: Tato možnost je vhodná, pokud nepotřebujete řídit, kdo přistupuje k chráněnému dokumentu, a poskytnout uživateli možnost ověření. Ověřování může být Azure AD pomocí účtu Microsoft nebo dokonce federovaného poskytovatele sociálních sítí nebo jednorázového hesla, pokud je obsah chráněný novými možnostmi šifrování zpráv Office 365.

Jako správce můžete nakonfigurovat popisek Azure Information Protection tak, aby použil oprávnění a autorizované uživatele. Tato konfigurace usnadňuje uživatelům a dalším správcům použití správného nastavení ochrany, protože popisek jednoduše použije, aniž by museli zadávat podrobnosti. Následující části poskytují příklad ochrany dokumentu, který podporuje zabezpečenou spolupráci s interními a externími uživateli.

Příklad konfigurace popisku pro použití ochrany pro podporu interní a externí spolupráce

Tento příklad vás provede konfigurací existujícího popisku pro použití ochrany, aby uživatelé z vaší organizace mohli spolupracovat na dokumentech se všemi uživateli z jiné organizace, která má Microsoft 365 nebo Azure AD, skupinu z jiné organizace, která má Microsoft 365 nebo Azure AD, a uživatele, který nemá účet. Azure AD a místo toho budou používat e-mailovou adresu Gmailu.

Vzhledem k tomu, že scénář omezuje přístup na konkrétní uživatele, nezahrnuje nastavení pro žádné ověřené uživatele. Příklad konfigurace popisku s tímto nastavením najdete v tématu Příklad 5: Popisek, který šifruje obsah, ale neomezuje, kdo k němu má přístup.

  1. Vyberte popisek, který už je v globální zásadě nebo v rámci zásad. V podokně Ochrana se ujistěte, že je vybraná možnost Azure (cloudový klíč ).

  2. Ujistěte se, že je vybraná možnost Nastavit oprávnění , a vyberte Přidat oprávnění.

  3. V podokně Přidat oprávnění :

    • Pro vaši interní skupinu: Výběrem možnosti Procházet adresář vyberte skupinu, která musí být povolená e-mailem.

    • Pro všechny uživatele v první externí organizaci: Vyberte Zadat podrobnosti a zadejte název domény v tenantovi organizace. Například fabrikam.com.

    • Pro skupinu ve druhé externí organizaci: Na kartě Zadat podrobnosti zadejte e-mailovou adresu skupiny v tenantovi organizace. Například, sales@contoso.com.

    • Pro uživatele, který nemá účet Azure AD: Na kartě Zadat podrobnosti zadejte e-mailovou adresu uživatele. Například, bengi.turan@gmail.com.

  4. Pokud chcete všem těmto uživatelům udělit stejná oprávnění: Pro výběr oprávnění z přednastavení vyberte spoluvlastník, spoluvytvářecí, revidujícím nebo vlastní, abyste vybrali oprávnění, která chcete udělit.

    Nakonfigurovaná oprávnění se například můžou podobat následujícímu:

    Configuring permissions for secure collaboration

  5. Klikněte na OK v podokně Přidat oprávnění .

  6. V podokně Ochrana klikněte na tlačítko OK.

  7. V podokně Popisek vyberte Uložit.

Použití popisku, který podporuje zabezpečenou spolupráci

Teď, když je tento popisek nakonfigurovaný, můžete ho použít u dokumentů několika způsoby, které obsahují následující:

Různé způsoby použití popisku Další informace
Uživatel ručně vybere popisek při vytvoření dokumentu v aplikaci Office. Uživatelé vyberou popisek z tlačítka Zamknout na pásu karet Office nebo na panelu Azure Information Protection.
Uživatelům se zobrazí výzva k výběru popisku při uložení nového dokumentu. Nakonfigurovali jste nastavení zásad Azure Information Protection s názvem Všechny dokumenty a e-maily musí mít popisek.
Uživatel dokument sdílí e-mailem a ručně vybere popisek v Outlook. Uživatelé vyberou popisek z tlačítka Zamknout na pásu karet Office nebo na panelu Azure Information Protection a připojený dokument se automaticky chrání stejným nastavením.
Správce použije popisek k dokumentu pomocí PowerShellu. Pomocí rutiny Set-AIPFileLabel použijte popisek na konkrétní dokument nebo všechny dokumenty ve složce.
Dále jste nakonfigurovali popisek tak, aby používal automatickou klasifikaci, kterou teď můžete použít pomocí skeneru Azure Information Protection nebo PowerShellu. Přečtěte si, jak nakonfigurovat podmínky pro automatickou a doporučenou klasifikaci pro azure Information Protection.

Pokud chcete tento návod dokončit, ručně použijte popisek při vytváření dokumentu v aplikaci Office:

  1. Pokud už máte v klientském počítači otevřenou aplikaci Office, nejdřív ji zavřete a znovu otevřete, abyste získali nejnovější změny zásad, které obsahují nově nakonfigurovaný popisek.

  2. Použijte popisek na dokument a uložte ho.

Nasdílejte chráněný dokument tak, že ho připojíte k e-mailu a pošlete ho lidem, kteří mají oprávnění k úpravám dokumentu.

Otevření a úprava chráněného dokumentu

Když uživatelé, kteří jste povolili otevření dokumentu pro úpravy, otevře se dokument s informačním bannerem, který je informuje o tom, že oprávnění jsou omezená. Příklad:

Azure Information Protection permissions example information banner

Pokud vyberou tlačítko Zobrazit oprávnění , zobrazí se jim oprávnění, která mají. V následujícím příkladu může uživatel dokument zobrazit a upravit:

Azure Information Protection permissions example dialog box

Poznámka: Pokud je dokument otevřen externími uživateli, kteří také používají Azure Information Protection, aplikace Office nezobrazuje popisek klasifikace dokumentu, i když všechna vizuální označení z popisku zůstanou. Externí uživatelé můžou místo toho použít vlastní popisek v souladu s taxonomií klasifikace organizace. Pokud vám tito externí uživatelé posílají upravený dokument zpět, Office při opětovném otevření dokumentu zobrazí původní popisek klasifikace.

Před otevřením chráněného dokumentu dojde k jednomu z následujících toků ověřování:

  • Pro uživatele, kteří mají účet Azure AD, používají svoje Azure AD přihlašovací údaje k ověření Azure AD a dokument se otevře.

  • Pokud uživatel, který nemá účet Azure AD, není přihlášený k Office pomocí účtu, který má oprávnění k otevření dokumentu, zobrazí se stránka Účty.

    Na stránce Účty vyberte Přidat účet:

    Adding an Microsoft account to open protected document

    Na přihlašovací stránce vyberte Vytvořit a podle pokynů vytvořte nový účet Microsoft s e-mailovou adresou, která byla použita k udělení oprávnění:

    Creating a Microsoft account to open protected document

    Po vytvoření nového účtu Microsoft se místní účet přepne na tento nový účet Microsoft a uživatel pak může dokument otevřít.

Podporované scénáře pro otevírání chráněných dokumentů

Následující tabulka shrnuje různé metody ověřování, které jsou podporovány pro prohlížení a úpravy chráněných dokumentů.

Kromě toho následující scénáře podporují prohlížení dokumentů:

  • Prohlížeč azure Information Protection pro Windows a pro iOS a Android může otevírat soubory pomocí účtu Microsoft.

  • Prohlížeč může otevřít chráněné přílohy, když se zprostředkovatelé sociálních sítí a jednorázové heslo používají k ověřování s Exchange Online a novými možnostmi šifrování zpráv Office 365.

Platformy pro prohlížení a úpravy dokumentů:
Word, Excel, PowerPoint		 Metoda ověřování:
Azure AD		 Metoda ověřování:
Účet Microsoft
Windows Ano [1] Ano (aplikace Microsoft 365 a Microsoft Office 2019)
iOS Ano [1] Ano (verze 2.42 a vyšší)
Android Ano [1] Ano (verze 16.0.13029 a vyšší)
MacOS Ano [1] Ano (Microsoft 365 aplikace verze 16.42 a vyšší)
Poznámka pod čarou 1

Podporuje uživatelské účty, skupiny s povolenými e-maily, všechny členy. Uživatelské účty a skupiny s povolenými e-maily můžou zahrnovat účty hostů. Všichni členové vylučují účty hostů.

Další kroky

Podívejte se na další ukázkové konfigurace popisků pro použití ochrany pro běžné scénáře. Tento článek obsahuje také další podrobnosti o nastavení ochrany.

Další informace o dalších možnostech a nastaveních, které můžete pro popisek nakonfigurovat, najdete v tématu Konfigurace zásad azure Information Protection.

Popisek nakonfigurovaný v tomto článku také vytvoří šablonu ochrany se stejným názvem. Pokud máte aplikace a služby, které se integrují se šablonami ochrany z Azure Information Protection, můžou tuto šablonu použít. Například řešení ochrany před únikem informací a pravidla toku pošty. Outlook na webu automaticky zobrazí šablony ochrany z globálních zásad Azure Information Protection.