Podpora služby Azure Rights Management v aplikacích a službách Office

  • Článek

Koncoví uživatelé aplikace Office lications a služby Office můžou používat službu Azure Rights Management ze služby Azure Information Protection k ochraně dat vaší organizace. Tyto aplikace Office lications jsou Word, Excel, PowerPoint a Outlook. Služby Office jsou Exchange a Microsoft SharePoint. Konfigurace Office, které podporují službu Azure Rights Management, často používají termín správy přístupových práv k informacím (IRM).

aplikace Office lications: Word, Excel, PowerPoint, Outlook

Tyto aplikace podporují integrovanou službu Azure Rights Management a umožňují uživatelům použít ochranu na uložený dokument nebo na e-mailovou zprávu, která se má odeslat. Uživatelé můžou použít šablony k použití ochrany. Nebo pro Word, Excel a PowerPoint můžou uživatelé zvolit přizpůsobená nastavení pro omezení přístupu, práv a používání.

Uživatelé můžou třeba nakonfigurovat wordový dokument tak, aby k němu měli přístup jenom lidé ve vaší organizaci. Nebo můžete určit, jestli se dá excelová tabulka upravovat, nebo je omezit jen pro čtení, nebo zabránit jejímu tisku. U souborů citlivých na čas je možné nastavit dobu vypršení platnosti, pro které už není soubor přístupný. Tuto konfiguraci můžou provádět přímo uživatelé nebo použít šablonu ochrany. V Outlooku můžou uživatelé také zvolit možnost Nepřeposílat , aby se zabránilo úniku dat.

Pokud jste připraveni nakonfigurovat aplikace Office, projděte si aplikace Office: Konfigurace pro klienty.

Relevantní známé problémy najdete v tématu Známé problémy AIP v aplikace Office lications.

Exchange Online a Exchange Server

Pokud používáte Exchange Online nebo Exchange Server, můžete nakonfigurovat možnosti pro Azure Information Protection. Tato konfigurace umožňuje systému Exchange poskytovat následující řešení ochrany:

  • protokol Exchange ActiveSync IRM, aby mobilní zařízení mohly chránit a využívat chráněné e-mailové zprávy.

  • Podpora ochrany e-mailu pro Outlook na webu, která se implementuje podobně jako klient Outlooku. Tato konfigurace umožňuje uživatelům chránit e-mailové zprávy pomocí šablon ochrany nebo možností. Uživatelé můžou číst a používat chráněné e-mailové zprávy, které jim byly odeslány.

  • Pravidla ochrany pro klienty Outlooku, které správce konfiguruje tak, aby automaticky použil šablony ochrany a možnosti pro e-mailové zprávy určených příjemců. Například když se interní e-maily odesílají do vašeho právního oddělení, můžou je číst jenom členové právního oddělení a nejde je přeposlat. Uživatelé uvidí ochranu použitou u e-mailové zprávy před jejím odesláním a ve výchozím nastavení ji můžou odebrat, pokud se rozhodnou, že to není nutné. Před odesláním se e-maily zašifrují. Další informace najdete v tématu Pravidla ochrany aplikace Outlook a vytvoření pravidla ochrany aplikace Outlook v knihovně serveru Exchange.

  • Pravidla toku pošty, která správce nakonfiguruje tak, aby automaticky použil šablony ochrany nebo možnosti pro e-mailové zprávy. Tato pravidla jsou založená na vlastnostech, jako je odesílatel, příjemce, předmět zprávy a obsah. Tato pravidla jsou podobná pravidlům ochrany, ale neumožňují uživatelům odebrat ochranu, protože ochrana je nastavená službou Exchange místo klienta. Vzhledem k tomu, že je ochrana nastavená službou, nezáleží na tom, jaké zařízení nebo jaký operační systém uživatelé mají. Další informace najdete v tématu Pravidla toku pošty (pravidla přenosu) v Exchangi Online a Vytvoření pravidla ochrany přenosu pro místní Exchange.

  • Zásady ochrany před únikem informací, které obsahují sady podmínek pro filtrování e-mailových zpráv a provádění akcí, které pomáhají zabránit ztrátě dat u důvěrného nebo citlivého obsahu. Jednou z akcí, kterou můžete zadat, je použít šifrování jako ochranu zadáním jedné ze šablon ochrany nebo možností. Zásady Tipy je možné použít při zjištění citlivých dat, aby uživatelům upozorňovaly, že by mohli potřebovat použít ochranu. Další informace naleznete v tématu Ochrana před únikem informací v dokumentaci k Exchangi Online.

  • Šifrování zpráv, které podporuje odesílání chráněných e-mailových zpráv a chráněných dokumentů Office jako příloh na libovolnou e-mailovou adresu na libovolném zařízení. U uživatelských účtů, které nepoužívají MICROSOFT Entra ID, webové prostředí podporuje zprostředkovatele sociálních identit nebo jednorázové heslo. Další informace najdete v tématu Nastavení nových funkcí šifrování zpráv Microsoftu 365 založených na službě Azure Information Protection z dokumentace k Microsoftu 365. Další informace související s touto konfigurací najdete v tématu Šifrování zpráv Microsoftu 365.

Pokud používáte místní Exchange, můžete pomocí funkcí IRM se službou Azure Rights Management nasadit konektor Microsoft Rights Management. Tento konektor funguje jako přenos mezi místními servery a službou Azure Rights Management.

Další informace o možnostech e-mailu, které můžete použít k ochraně e-mailů, najdete v tématu Možnost Nepřeposílat pro e-maily a možnost pouze šifrování pro e-maily.

Pokud jste připraveni nakonfigurovat Exchange tak, aby chránil e-maily:

SharePoint v Microsoftu 365 a SharePoint Serveru

Pokud používáte SharePoint v Microsoftu 365 nebo SharePoint Serveru, můžete chránit dokumenty pomocí funkce irm (Správa přístupových práv k informacím) SharePointu. Tato funkce umožňuje správcům chránit seznamy nebo knihovny tak, aby při rezervace dokumentu uživatelem byl stažený soubor chráněný tak, aby ho mohli zobrazit a používat jenom autorizovaní lidé podle vámi zadaných zásad ochrany informací. Soubor může být například jen pro čtení, zakázání kopírování textu, zabránění uložení místní kopie a zabránění tisku souboru.

Dokumenty Wordu, PowerPointu, Excelu a PDF podporují tuto ochranu IRM SharePointu. Ve výchozím nastavení je ochrana omezena na osobu, která dokument stáhne. Toto výchozí nastavení můžete změnit pomocí možnosti konfigurace s názvem Povolit ochranu skupiny, která rozšiřuje ochranu na zadaná skupina. Můžete například zadat skupinu, která má oprávnění upravovat dokumenty v knihovně, aby stejná skupina uživatelů mohla upravovat dokument mimo SharePoint bez ohledu na to, který uživatel dokument stáhl. Nebo můžete zadat skupinu, která nemá udělená oprávnění v SharePointu, ale uživatelé v této skupině potřebují přístup k dokumentu mimo SharePoint. U sharepointových seznamů a knihoven je tato ochrana vždy nakonfigurována správcem, nikdy koncovým uživatelem. Oprávnění nastavíte na úrovni webu a tato oprávnění jsou ve výchozím nastavení zděděna libovolným seznamem nebo knihovnou na tomto webu. Pokud používáte SharePoint v Microsoftu 365, můžou uživatelé také nakonfigurovat knihovnu Microsoft OneDrivu pro ochranu IRM.

Pokud chcete podrobnější řízení, můžete nakonfigurovat seznam nebo knihovnu na webu tak, aby se přestala dědit oprávnění z nadřazeného objektu. Pak můžete nakonfigurovat oprávnění IRM na této úrovni (seznam nebo knihovnu) a pak se označují jako "jedinečná oprávnění". Oprávnění jsou však vždy nastavena na úrovni kontejneru; nelze nastavit oprávnění pro jednotlivé soubory.

Nejprve musí být pro SharePoint povolená služba IRM. Pak zadáte oprávnění IRM pro knihovnu. U SharePointu a OneDrivu můžou uživatelé také zadat oprávnění IRM pro knihovnu OneDrivu. SharePoint nepoužívá šablony zásad práv, i když existují nastavení konfigurace SharePointu, které můžete vybrat, které odpovídají některým nastavením, která můžete zadat v šablonách.

Pokud používáte SharePoint Server, můžete tuto ochranu IRM použít nasazením konektoru Microsoft Rights Management. Tento konektor funguje jako přenos mezi místními servery a cloudovou službou Rights Management. Další informace najdete v tématu Nasazení konektoru Microsoft Rights Management.

Poznámka:

Při používání technologie IRM služby SharePoint platí určitá omezení:

  • Nemůžete použít výchozí nebo vlastní šablony ochrany, které spravujete na webu Azure Portal.

  • Soubory, které mají příponu názvu souboru .ppdf pro chráněné soubory PDF, nejsou podporovány. Další informace o prohlížení chráněných dokumentů PDF naleznete v tématu Chráněné pdf čtečky pro Microsoft Purview Information Protection.

  • Spoluvytváření není podporováno, pokud dokument současně upravuje více osob. Pokud chcete upravit dokument v knihovně chráněné technologií IRM, musíte si nejdřív dokument rezervovat a stáhnout a pak ho upravit v aplikace Office licaci. V důsledku toho může dokument současně upravovat jenom jedna osoba.

U knihoven, které nejsou chráněné technologií IRM, platí, že pokud použijete ochranu pouze u souboru, který pak nahrajete na SharePoint nebo OneDrive, nebude s tímto souborem fungovat následující: spoluvytváření, Office pro web, vyhledávání, náhled dokumentu, miniatura, eDiscovery a ochrana před únikem informací (DLP).

Důležité

IrM SharePointu je možné použít v kombinaci s popisky citlivosti, které používají ochranu. Při společném použití obou funkcí se chování chráněných souborů změní. Další informace najdete v tématu Povolení popisků citlivosti pro soubory Office na SharePointu a OneDrivu.

Pokud používáte ochranu IRM sharepointu, služba Azure Rights Management použije omezení použití a šifrování dat pro dokumenty, když se stáhnou ze SharePointu, a ne při prvním vytvoření dokumentu v SharePointu nebo nahrání do knihovny. Informace o tom, jak jsou dokumenty chráněné před jejich stažením, najdete v tématu Šifrování dat na OneDrivu a SharePointu z dokumentace k SharePointu.

Informace o nadcházejících změnách najdete v tématu Aktualizace zabezpečení, správy a migrace SharePointu.

Pokud jste připraveni nakonfigurovat SharePoint pro IRM:

Další kroky

Pokud máte Microsoft 365, může vás zajímat kontrola řešení ochrany souborů v Microsoftu 365, která poskytuje doporučené možnosti ochrany souborů v Microsoftu 365.

Pokud chcete zjistit, jak ostatní aplikace a služby podporují službu Azure Rights Management ze služby Azure Information Protection, přečtěte si, jak aplikace podporují službu Azure Rights Management.

Pokud jste připraveni zahájit nasazení, včetně konfigurace těchto aplikací a služeb, prohlédnou si plány nasazení AIP pro klasifikaci, označování a ochranu.