Ogranicz dostęp do zawartości przy użyciu etykiet poufności w celu zastosowania szyfrowania

Wskazówki dotyczące licencjonowania platformy Microsoft 365 dotyczące zgodności & zabezpieczeń.

Uwaga

Zgodność w usłudze Microsoft 365 nosi teraz nazwę Microsoft Purview, a rozwiązaniom w obszarze zgodności nadano nowe nazwy. Aby uzyskać więcej informacji na temat usługi Microsoft Purview, zobacz ogłoszenie w blogu i artykuł Co to jest Microsoft Purview?

Podczas tworzenia etykiety poufności można ograniczyć dostęp do zawartości, do którą zostanie zastosowana etykieta. Na przykład za pomocą ustawień szyfrowania etykiety poufności można chronić zawartość, aby:

  • Tylko użytkownicy w organizacji mogą otworzyć poufny dokument lub wiadomość e-mail.
  • Tylko użytkownicy w dziale marketingu mogą edytować i drukować dokument lub wiadomość e-mail z ogłoszeniem o promocji, podczas gdy wszyscy inni użytkownicy w organizacji mogą go tylko odczytać.
  • Użytkownicy nie mogą przesyłać dalej wiadomości e-mail ani kopiować z niej informacji zawierających wiadomości o wewnętrznej reorganizacji.
  • Nie można otworzyć bieżącego cennika wysyłanego do partnerów biznesowych po określonej dacie.

Gdy dokument lub wiadomość e-mail jest szyfrowana, dostęp do zawartości jest ograniczony, dzięki czemu:

  • Może być odszyfrowywany tylko przez użytkowników autoryzowanych przez ustawienia szyfrowania etykiety.
  • Pozostaje zaszyfrowany bez względu na to, gdzie się znajduje, wewnątrz lub na zewnątrz organizacji, nawet jeśli nazwa pliku została zmieniona.
  • Jest szyfrowany zarówno w spoczynku (na przykład na koncie usługi OneDrive), jak i podczas przesyłania (na przykład wiadomości e-mail przechodzące przez Internet).

Na koniec, jako administrator, podczas konfigurowania etykiety poufności w celu zastosowania szyfrowania można wybrać jedną z następujących opcji:

  • Przypisz teraz uprawnienia, aby określić dokładnie, którzy użytkownicy uzyskują uprawnienia do zawartości z tą etykietą.
  • Zezwalaj użytkownikom na przypisywanie uprawnień podczas stosowania etykiety do zawartości. Dzięki temu możesz zezwolić osobom w organizacji na pewną elastyczność, która może wymagać współpracy i wykonania pracy.

Ustawienia szyfrowania są dostępne podczas tworzenia etykiety poufności w portal zgodności Microsoft Purview.

Uwaga

Teraz w wersji zapoznawczej etykieta poufności w programie Outlook może stosować ochronę S/MIME zamiast szyfrowania i uprawnień z usługi Azure Rights Management. Aby uzyskać więcej informacji, zobacz Konfigurowanie etykiety w celu zastosowania ochrony S/MIME w programie Outlook.

Informacje o tym, jak działa szyfrowanie

Szyfrowanie korzysta z usługi Azure Rights Management (Azure RMS) z usługi Azure Information Protection. To rozwiązanie ochrony używa zasad szyfrowania, tożsamości i autoryzacji. Aby dowiedzieć się więcej, zobacz Co to jest usługa Azure Rights Management? z dokumentacji usługi Azure Information Protection.

W przypadku korzystania z tego rozwiązania szyfrowania funkcja superużytkownika zapewnia, że autoryzowane osoby i usługi zawsze będą mogły odczytywać i sprawdzać dane, które zostały zaszyfrowane dla Twojej organizacji. W razie potrzeby można usunąć lub zmienić szyfrowanie. Aby uzyskać więcej informacji, zobacz Konfigurowanie superużytkowania dla usługi Azure Information Protection i odnajdywania lub odzyskiwania danych.

Ważne wymagania wstępne

Przed użyciem szyfrowania może być konieczne wykonywanie pewnych zadań konfiguracji. Podczas konfigurowania ustawień szyfrowania nie ma możliwości sprawdzenia, czy te wymagania wstępne zostały spełnione.

  • Aktywowanie ochrony z usługi Azure Information Protection

    Aby etykiety poufności miały zastosowanie szyfrowania, należy aktywować usługę ochrony (Azure Rights Management) z usługi Azure Information Protection dla dzierżawy. W nowszych dzierżawach jest to ustawienie domyślne, ale może być konieczne ręczne aktywowanie usługi. Aby uzyskać więcej informacji, zobacz Aktywowanie usługi ochrony z usługi Azure Information Protection.

  • Sprawdzanie wymagań sieciowych

    Może być konieczne wprowadzenie pewnych zmian na urządzeniach sieciowych, takich jak zapory. Aby uzyskać szczegółowe informacje, zobacz Zapory i infrastruktura sieci z dokumentacji usługi Azure Information Protection.

  • Konfigurowanie programu Exchange dla usługi Azure Information Protection

    Program Exchange nie musi być skonfigurowany dla usługi Azure Information Protection, zanim użytkownicy będą mogli stosować etykiety w programie Outlook w celu szyfrowania wiadomości e-mail. Jednak dopóki program Exchange nie zostanie skonfigurowany dla usługi Azure Information Protection, nie uzyskasz pełnej funkcjonalności korzystania z ochrony usługi Azure Rights Management w programie Exchange.

    Na przykład użytkownicy nie mogą wyświetlać zaszyfrowanych wiadomości e-mail na telefonach komórkowych lub za pomocą Outlook w sieci Web, szyfrowane wiadomości e-mail nie mogą być indeksowane do wyszukiwania i nie można skonfigurować Exchange Online DLP na potrzeby ochrony usługi Rights Management.

    Aby zapewnić obsługę tych dodatkowych scenariuszy przez program Exchange:

Jak skonfigurować etykietę na potrzeby szyfrowania

  1. Postępuj zgodnie z ogólnymi instrukcjami, aby utworzyć lub edytować etykietę poufności i upewnij się, że dla zakresu etykiety wybrano opcję Pliki & wiadomości e-mail :

    Opcje zakresu etykiet poufności dla plików i wiadomości e-mail.

  2. Następnie na stronie Wybieranie ustawień ochrony plików i wiadomości e-mail upewnij się, że wybrano pozycję Szyfruj pliki i wiadomości e-mail

    Opcje ochrony etykiet poufności dla plików i wiadomości e-mail.

  3. Na stronie Szyfrowanie wybierz jedną z następujących opcji:

    • Usuń szyfrowanie, jeśli plik jest zaszyfrowany: ta opcja jest obsługiwana tylko przez klienta ujednoliconego etykietowania na platformie Azure Information Protection. Po wybraniu tej opcji i użyciu wbudowanego etykietowania etykieta może nie być wyświetlana w aplikacjach lub wyświetlana i nie wprowadzać żadnych zmian szyfrowania.

      Aby uzyskać więcej informacji na temat tego scenariusza, zobacz sekcję Co się stanie z istniejącym szyfrowaniem po zastosowaniu etykiety . Ważne jest, aby zrozumieć, że to ustawienie może spowodować powstanie etykiety poufności, którą użytkownicy mogą nie być w stanie zastosować, gdy nie mają wystarczających uprawnień.

    • Konfigurowanie ustawień szyfrowania: włącza szyfrowanie i sprawia, że ustawienia szyfrowania są widoczne:

      Opcje etykiet poufności na potrzeby szyfrowania.

      Instrukcje dotyczące tych ustawień znajdują się w następującej sekcji Konfigurowanie ustawień szyfrowania .

Co się stanie z istniejącym szyfrowaniem po zastosowaniu etykiety

Jeśli etykieta poufności jest stosowana do niezaszyfrowanej zawartości, wynikiem opcji szyfrowania, które można wybrać, jest objaśnianie samodzielne. Jeśli na przykład nie wybrano opcji Szyfruj pliki i wiadomości e-mail, zawartość pozostaje niezaszyfrowana.

Jednak zawartość może być już zaszyfrowana. Na przykład inny użytkownik mógł zastosować:

  • Ich własne uprawnienia, które obejmują uprawnienia zdefiniowane przez użytkownika po wyświetleniu monitu przez etykietę, uprawnienia niestandardowe klienta usługi Azure Information Protection i ochronę dokumentu z ograniczonym dostępem z poziomu aplikacji pakietu Office.
  • Szablon ochrony usługi Azure Rights Management, który szyfruje zawartość niezależnie od etykiety. Ta kategoria obejmuje reguły przepływu poczty, które stosują szyfrowanie przy użyciu ochrony praw.
  • Etykieta, która stosuje szyfrowanie z uprawnieniami przypisanymi przez administratora.

W poniższej tabeli określono, co dzieje się z istniejącym szyfrowaniem w przypadku zastosowania etykiety poufności do tej zawartości:

Szyfrowanie: nie zaznaczono Szyfrowanie: skonfigurowane Szyfrowanie: usuwanie *
Uprawnienia określone przez użytkownika Oryginalne szyfrowanie jest zachowywane Zastosowano nowe szyfrowanie etykiet Oryginalne szyfrowanie jest usuwane
Szablon ochrony Oryginalne szyfrowanie jest zachowywane Zastosowano nowe szyfrowanie etykiet Oryginalne szyfrowanie jest usuwane
Etykieta z uprawnieniami zdefiniowanymi przez administratora Oryginalne szyfrowanie jest usuwane Zastosowano nowe szyfrowanie etykiet Oryginalne szyfrowanie jest usuwane

Przypisie:

*Obsługiwane przez klienta ujednoliconego etykietowania platformy Azure Information Protection

W przypadkach zastosowania nowego szyfrowania etykiet lub usunięcia oryginalnego szyfrowania dzieje się tak tylko wtedy, gdy użytkownik, który stosuje etykietę, ma prawo użytkowania lub rolę, która obsługuje tę akcję:

Jeśli użytkownik nie ma jednego z tych praw lub ról, nie można zastosować etykiety, a więc oryginalne szyfrowanie zostanie zachowane. Użytkownik widzi następujący komunikat: Nie masz uprawnień do wprowadzenia tej zmiany w etykiecie poufności. Skontaktuj się z właścicielem zawartości.

Na przykład osoba, która stosuje pozycję Nie przesyłaj dalej do wiadomości e-mail, może ponownie oznaczać wątek w celu zastąpienia szyfrowania lub usunięcia go, ponieważ jest właścicielem usługi Rights Management dla wiadomości e-mail. Ale z wyjątkiem superużytków adresaci tej wiadomości e-mail nie mogą jej ponownie oznaczać, ponieważ nie mają wymaganych praw użytkowania.

Załączniki wiadomości e-mail dla zaszyfrowanych wiadomości e-mail

Gdy wiadomość e-mail jest szyfrowana za pomocą dowolnej metody, wszystkie niezaszyfrowane dokumenty pakietu Office dołączone do wiadomości e-mail automatycznie dziedziczą te same ustawienia szyfrowania.

Dokumenty, które są już zaszyfrowane, a następnie dodawane jako załączniki, zawsze zachowują oryginalne szyfrowanie.

Konfigurowanie ustawień szyfrowania

Po wybraniu pozycji Konfiguruj ustawienia szyfrowania na stronie Szyfrowanie , aby utworzyć lub edytować etykietę poufności, wybierz jedną z następujących opcji:

  • Przypisz teraz uprawnienia, aby można było dokładnie określić, którzy użytkownicy uzyskują uprawnienia do zawartości z zastosowanymi etykietami. Aby uzyskać więcej informacji, zobacz następną sekcję Przypisywanie uprawnień teraz.
  • Zezwalaj użytkownikom na przypisywanie uprawnień , gdy użytkownicy zastosują etykietę do zawartości. Dzięki tej opcji możesz zezwolić osobom w organizacji na pewną elastyczność, która może wymagać współpracy i wykonania pracy. Aby uzyskać więcej informacji, zobacz sekcję Zezwalaj użytkownikom na przypisywanie uprawnień na tej stronie.

Jeśli na przykład masz etykietę poufności o nazwie Wysoce poufne , która zostanie zastosowana do najbardziej poufnej zawartości, możesz zdecydować teraz, kto otrzyma uprawnienia jakiego typu do tej zawartości.

Alternatywnie, jeśli masz etykietę poufności o nazwie Kontrakty biznesowe, a przepływ pracy organizacji wymaga, aby użytkownicy współpracowali nad tą zawartością z różnymi osobami na zasadzie nieplanowanej, możesz zezwolić użytkownikom na decydowanie, kto otrzymuje uprawnienia podczas przypisywania etykiety. Ta elastyczność ułatwia zarówno produktywność użytkowników, jak i zmniejsza liczbę żądań administratorów dotyczących aktualizacji lub tworzenia nowych etykiet poufności w celu rozwiązania określonych scenariuszy.

Określ, czy chcesz teraz przypisać uprawnienia, czy zezwolić użytkownikom na przypisywanie uprawnień:

Opcja dodawania uprawnień zdefiniowanych przez użytkownika lub administratora.

Przypisz teraz uprawnienia

Użyj następujących opcji, aby kontrolować, kto może uzyskiwać dostęp do poczty e-mail lub dokumentów, do których jest stosowana ta etykieta. Można:

  • Zezwalaj na wygaśnięcie dostępu do zawartości oznaczonej etykietą w określonym dniu lub po określonej liczbie dni po zastosowaniu etykiety. Po tym czasie użytkownicy nie będą mogli otworzyć oznaczonego elementu. Jeśli określisz datę, ta data będzie obowiązywać o północy w bieżącej strefie czasowej. Niektórzy klienci poczty e-mail mogą nie wymuszać wygaśnięcia i wyświetlać wiadomości e-mail po dacie wygaśnięcia ze względu na mechanizmy buforowania.

  • Zezwalaj na dostęp w trybie offline nigdy, zawsze lub przez określoną liczbę dni po zastosowaniu etykiety. To ustawienie służy do równoważenia wszelkich wymagań dotyczących zabezpieczeń z możliwością otwierania zaszyfrowanej zawartości przez użytkowników, gdy nie mają połączenia z Internetem. Jeśli ograniczysz dostęp w trybie offline do wartości nigdy lub do kilku dni, po osiągnięciu tego progu użytkownicy muszą zostać ponownie uwierzytelnieni, a ich dostęp zostanie zarejestrowany. Aby uzyskać więcej informacji na temat działania tego procesu, zobacz następującą sekcję dotyczącą licencji na korzystanie z usługi Rights Management.

Ustawienia kontroli dostępu dla zaszyfrowanej zawartości:

Ustawienia uprawnień zdefiniowanych przez administratora.

Zalecenia dotyczące ustawień wygaśnięcia i dostępu w trybie offline:

Ustawienie Zalecane ustawienie
Dostęp użytkowników do zawartości wygasa Nigdy, chyba że zawartość ma określone wymagania dotyczące czasu.
Zezwalaj na dostęp w trybie offline Zależy od poufności zawartości:

- Tylko przez kilka dni = 7 w przypadku poufnych danych biznesowych, które mogą spowodować uszkodzenie firmy w przypadku udostępnienia ich nieautoryzowanym osobom. To zalecenie zapewnia zrównoważony kompromis między elastycznością a zabezpieczeniami. Przykłady obejmują kontrakty, raporty zabezpieczeń, podsumowania prognoz i dane konta sprzedaży.

- Nigdy w przypadku bardzo poufnych danych biznesowych, które mogłyby spowodować uszkodzenie firmy, gdyby zostały udostępnione nieautoryzowanym osobom. To zalecenie nadaje priorytet bezpieczeństwu nad elastycznością i gwarantuje, że jeśli usuniesz dostęp co najmniej jednego użytkownika do dokumentu, nie będzie mógł go otworzyć. Przykłady obejmują informacje o pracownikach i klientach, hasła, kod źródłowy i wstępnie ogłoszone raporty finansowe.

- Zawsze w przypadku mniej poufnej zawartości, w której nie ma znaczenia, czy użytkownicy mogą nadal otwierać zaszyfrowaną zawartość przez maksymalnie 30 dni (lub skonfigurowany okres ważności licencji użytkowania dla dzierżawy) po usunięciu dostępu i wcześniej otworzyli zaszyfrowaną zawartość.

Tylko etykiety skonfigurowane do przypisywania uprawnień obsługują teraz różne wartości dostępu w trybie offline. Etykiety, które umożliwiają użytkownikom przypisywanie uprawnień, automatycznie używają okresu ważności licencji usługi Rights Management dzierżawy. Na przykład etykiety skonfigurowane dla opcji Nie przesyłaj dalej, Szyfruj tylko i monituj użytkowników o określenie własnych uprawnień. Wartość domyślna tego ustawienia to 30 dni.

Licencja na korzystanie z usługi Rights Management na potrzeby dostępu w trybie offline

Uwaga

Mimo że można skonfigurować ustawienie szyfrowania, aby zezwolić na dostęp w trybie offline, niektóre aplikacje mogą nie obsługiwać dostępu w trybie offline do zaszyfrowanej zawartości. Na przykład pliki oznaczone etykietami i zaszyfrowane w Power BI Desktop nie będą otwierane, jeśli jesteś w trybie offline.

Gdy użytkownik otworzy dokument lub wiadomość e-mail chronioną przez szyfrowanie z usługi Azure Rights Management, użytkownikowi zostanie udzielona licencja na korzystanie z usługi Azure Rights Management. Ta licencja użycia to certyfikat zawierający prawa użytkowania dokumentu lub wiadomości e-mail użytkownika oraz klucz szyfrowania, który był używany do szyfrowania zawartości. Licencja użytkowania zawiera również datę wygaśnięcia, jeśli została ustawiona i jak długo licencja użytkowania jest ważna.

Jeśli nie ustawiono daty wygaśnięcia, domyślny okres ważności licencji użycia dzierżawy wynosi 30 dni. Na czas trwania licencji użytkowania użytkownik nie jest ponownie uwierzytelniony ani ponownie autoryzowany dla zawartości. Ten proces umożliwia użytkownikowi dalsze otwieranie chronionego dokumentu lub wiadomości e-mail bez połączenia z Internetem. Gdy okres ważności licencji użytkowania wygaśnie, następnym razem, gdy użytkownik uzyskuje dostęp do chronionego dokumentu lub wiadomości e-mail, użytkownik musi zostać ponownie uwierzytelniony i ponownie uwierzytelniony.

Oprócz ponownego uwierzytelniania ustawienia szyfrowania i członkostwo w grupach użytkowników są ponownie oceniane. Oznacza to, że użytkownicy mogą doświadczyć różnych wyników dostępu dla tego samego dokumentu lub wiadomości e-mail, jeśli w ustawieniach szyfrowania lub członkostwie w grupie nastąpiły zmiany od momentu ostatniego uzyskania dostępu do zawartości.

Aby dowiedzieć się, jak zmienić domyślne ustawienie 30-dniowe, zobacz Licencja użycia usługi Rights Management.

Przypisywanie uprawnień do określonych użytkowników lub grup

Możesz przyznać uprawnienia określonym osobom, aby tylko oni mogli wchodzić w interakcje z zawartością oznaczoną etykietą:

  1. Najpierw dodaj użytkowników lub grupy, do których zostaną przypisane uprawnienia do zawartości oznaczonej etykietą.

  2. Następnie wybierz uprawnienia, które użytkownicy powinni mieć dla zawartości oznaczonej etykietą.

Przypisywanie uprawnień:

Opcje przypisywania uprawnień użytkownikom.

Dodawanie użytkowników lub grup

Podczas przypisywania uprawnień można wybrać następujące opcje:

  • Wszyscy w organizacji (wszyscy członkowie dzierżawy). To ustawienie wyklucza konta gościa.

  • Wszyscy uwierzytelnieni użytkownicy. Przed wybraniem tego ustawienia upewnij się, że znasz wymagania i ograniczenia tego ustawienia.

  • Dowolny konkretny użytkownik lub grupa zabezpieczeń z obsługą poczty e-mail, grupa dystrybucyjna lub grupa platformy Microsoft 365 w Azure AD. Grupa platformy Microsoft 365 może mieć członkostwo statyczne lub dynamiczne. Nie można użyć dynamicznej grupy dystrybucyjnej z programu Exchange, ponieważ ten typ grupy nie jest synchronizowany z Azure AD. Nie można również użyć grupy zabezpieczeń, która nie ma włączonej poczty e-mail.

    Chociaż można określić grupy zawierające kontakty pocztowe jako wygodną metodę udzielania dostępu wielu osobom spoza organizacji, obecnie istnieje znany problem z tą konfiguracją. Aby uzyskać więcej informacji, zobacz Kontakty poczty w grupach mają sporadyczny dostęp do zaszyfrowanej zawartości.

  • Dowolny adres e-mail lub domena. Użyj tej opcji, aby określić wszystkich użytkowników w innej organizacji, którzy używają Azure AD, wprowadzając dowolną nazwę domeny z tej organizacji. Możesz również użyć tej opcji dla dostawców społecznościowych, wprowadzając ich nazwę domeny, taką jak gmail.com, hotmail.com lub outlook.com.

    Uwaga

    Jeśli określisz domenę z organizacji korzystającej z Azure AD, nie możesz ograniczyć dostępu do tej określonej domeny. Zamiast tego wszystkie zweryfikowane domeny w Azure AD są automatycznie uwzględniane dla dzierżawy, która jest właścicielem określonej nazwy domeny.

Po wybraniu wszystkich użytkowników i grup w organizacji lub przeglądaniu katalogu użytkownicy lub grupy muszą mieć adres e-mail.

Najlepszym rozwiązaniem jest użycie grup, a nie użytkowników. Ta strategia sprawia, że konfiguracja jest prostsza.

Wymagania i ograniczenia dotyczące "Dodawania uwierzytelnionych użytkowników"

To ustawienie nie ogranicza tego, kto może uzyskiwać dostęp do zawartości szyfrowanej przez etykietę, jednocześnie szyfrując zawartość i udostępniając opcje ograniczające sposób użycia zawartości (uprawnienia) i uzyskiwania do niej dostępu (wygaśnięcie i dostęp w trybie offline). Jednak aplikacja otwierająca zaszyfrowaną zawartość musi być w stanie obsługiwać używane uwierzytelnianie. Z tego powodu federacyjni dostawcy usług społecznościowych, tacy jak Google, i jednorazowe uwierzytelnianie kodem dostępu działają tylko w przypadku poczty e-mail i tylko wtedy, gdy używasz Exchange Online. Konta Microsoft mogą być używane z aplikacjami Office 365 i przeglądarką usługi Azure Information Protection.

Niektóre typowe scenariusze dla wszystkich ustawień uwierzytelnionych użytkowników:

  • Nie masz nic przeciwko temu, kto wyświetla zawartość, ale chcesz ograniczyć sposób jej użycia. Na przykład nie chcesz, aby zawartość była edytowana, kopiowana ani drukowana.
  • Nie musisz ograniczać tego, kto uzyskuje dostęp do zawartości, ale chcesz mieć możliwość potwierdzenia, kto ją otworzy.
  • Musisz wymagać, aby zawartość była szyfrowana w spoczynku i przesyłana, ale nie wymaga kontroli dostępu.

Wybieranie uprawnień

Po wybraniu uprawnień, które mają być dozwolone dla tych użytkowników lub grup, możesz wybrać jedną z następujących opcji:

  • Wstępnie zdefiniowany poziom uprawnień z wstępnie ustawioną grupą praw, taką jak Co-Author lub Recenzent.
  • Uprawnienia niestandardowe, w których wybierasz co najmniej jedno prawo użytkowania.

Aby uzyskać więcej informacji, które pomogą Ci wybrać odpowiednie uprawnienia, zobacz Prawa do użycia i opisy.

Opcje wyboru uprawnień wstępnych lub niestandardowych.

Należy pamiętać, że ta sama etykieta może przyznać różne uprawnienia różnym użytkownikom. Na przykład pojedyncza etykieta może przypisać niektórych użytkowników jako recenzentów i innego użytkownika jako współautora, jak pokazano na poniższym zrzucie ekranu.

W tym celu dodaj użytkowników lub grupy, przypisz im uprawnienia i zapisz te ustawienia. Następnie powtórz te kroki, dodając użytkowników i przypisując im uprawnienia, zapisując ustawienia za każdym razem. Tę konfigurację można powtarzać tak często, jak to konieczne, aby zdefiniować różne uprawnienia dla różnych użytkowników.

Różni użytkownicy z różnymi uprawnieniami.

Wystawca usługi Rights Management (użytkownik stosujący etykietę poufności) zawsze ma pełną kontrolę

Szyfrowanie etykiety poufności używa usługi Azure Rights Management z usługi Azure Information Protection. Gdy użytkownik stosuje etykietę poufności w celu ochrony dokumentu lub wiadomości e-mail przy użyciu szyfrowania, ten użytkownik staje się wystawcą usługi Rights Management dla tej zawartości.

Wystawcy usługi Rights Management zawsze otrzymuje uprawnienia pełnej kontroli dla dokumentu lub wiadomości e-mail, a ponadto:

  • Jeśli ustawienia szyfrowania obejmują datę wygaśnięcia, wystawcy usługi Rights Management nadal może otworzyć i edytować dokument lub wiadomość e-mail po tej dacie.
  • Wystawca usługi Rights Management zawsze może uzyskać dostęp do dokumentu lub wiadomości e-mail w trybie offline.
  • Wystawca usługi Rights Management nadal może otworzyć dokument po jego odwołaniu.

Aby uzyskać więcej informacji, zobacz Wystawcę usługi Rights Management i właściciela usługi Rights Management.

Podwójne szyfrowanie kluczy

Uwaga

Ta funkcja jest obecnie obsługiwana tylko przez klienta ujednoliconego etykietowania usługi Azure Information Protection.

Wybierz tę opcję dopiero po skonfigurowaniu usługi podwójnego szyfrowania kluczy i musisz użyć tego szyfrowania podwójnym kluczem dla plików, które będą miały tę etykietę. Po skonfigurowaniu i zapisaniu etykiety nie będzie można jej edytować.

Aby uzyskać więcej informacji, wymagania wstępne i instrukcje konfiguracji, zobacz Podwójne szyfrowanie kluczy (DKE).

Zezwalaj użytkownikom na przypisywanie uprawnień

Ważne

Nie wszyscy klienci etykietowania obsługują wszystkie opcje, które umożliwiają użytkownikom przypisywanie własnych uprawnień. Skorzystaj z tej sekcji, aby dowiedzieć się więcej.

Następujące opcje umożliwiają użytkownikom przypisywanie uprawnień, gdy ręcznie zastosują etykietę poufności do zawartości:

  • W programie Outlook użytkownik może wybrać ograniczenia równoważne opcji Nie przesyłaj dalej lub Tylko szyfrowanie dla wybranych adresatów.

    Opcja Nie przesyłaj dalej jest obsługiwana przez wszystkich klientów poczty e-mail, którzy obsługują etykiety poufności. Jednak zastosowanie opcji Encrypt-Only z etykietą poufności jest nowszą wersją obsługiwaną tylko przez wbudowane etykietowanie, a nie klienta ujednoliconego etykietowania usługi Azure Information Protection. W przypadku klientów poczty e-mail, którzy nie obsługują tej funkcji, etykieta nie będzie widoczna.

    Aby sprawdzić minimalne wersje aplikacji Outlook, które używają wbudowanego etykietowania do obsługi stosowania opcji Encrypt-Only z etykietą poufności, użyj tabeli możliwości programu Outlook i wiersza Zezwalaj użytkownikom na przypisywanie uprawnień: — Tylko szyfrowanie.

  • W programach Word, PowerPoint i Excel użytkownik otrzymuje monit o wybranie własnych uprawnień dla określonych użytkowników, grup lub organizacji.

    Ta opcja jest obsługiwana przez klienta ujednoliconego etykietowania usługi Azure Information Protection oraz przez niektóre aplikacje korzystające z wbudowanego etykietowania. W przypadku aplikacji, które nie obsługują tej możliwości, etykieta nie będzie widoczna dla użytkowników lub etykieta jest widoczna dla spójności, ale nie można jej zastosować z komunikatem objaśnienia dla użytkowników.

    Aby sprawdzić, które aplikacje korzystające z wbudowanego etykietowania obsługują tę opcję, użyj tabeli możliwości dla programów Word, Excel i PowerPoint oraz wiersza Zezwalaj użytkownikom na przypisywanie uprawnień: — Monituj użytkowników.

Gdy opcje są obsługiwane, użyj poniższej tabeli, aby określić, kiedy użytkownicy zobaczą etykietę poufności:

Ustawienie Etykieta widoczna w programie Outlook Etykieta widoczna w programach Word, Excel, PowerPoint
W programie Outlook wymuś ograniczenia za pomocą opcji Nie przesyłaj dalej lub Encrypt-Only Tak Nie
W programach Word, PowerPoint i Excel monituj użytkowników o określenie uprawnień Nie Tak

Po wybraniu obu ustawień etykieta jest widoczna zarówno w programie Outlook, jak i w programach Word, Excel i PowerPoint.

Etykieta poufności, która umożliwia użytkownikom przypisywanie uprawnień, musi być stosowana do zawartości ręcznie przez użytkowników; nie może być automatycznie stosowany ani używany jako zalecana etykieta.

Konfigurowanie uprawnień przypisanych przez użytkownika:

Ustawienia szyfrowania dla uprawnień zdefiniowanych przez użytkownika.

Ograniczenia programu Outlook

W programie Outlook, gdy użytkownik zastosuje etykietę poufności, która umożliwia mu przypisanie uprawnień do wiadomości, możesz wybrać opcję Nie przesyłaj dalej lub Tylko szyfrowanie. W górnej części komunikatu zostanie wyświetlona nazwa etykiety i opis, co wskazuje, że zawartość jest chroniona. W przeciwieństwie do programów Word, PowerPoint i Excel (zobacz następną sekcję) użytkownicy nie będą monitować o wybranie określonych uprawnień.

Etykieta poufności zastosowana do wiadomości w programie Outlook.

Gdy któraś z tych opcji zostanie zastosowana do wiadomości e-mail, wiadomość e-mail zostanie zaszyfrowana, a adresaci muszą zostać uwierzytelnieni. Następnie adresaci automatycznie mają ograniczone prawa użytkowania:

  • Nie przesyłaj dalej: adresaci nie mogą przesłać dalej wiadomości e-mail, wydrukować jej ani skopiować z niej. Na przykład w kliencie programu Outlook przycisk Prześlij dalej jest niedostępny, opcje menu Zapisz jako i Drukuj nie są dostępne i nie można dodawać ani zmieniać adresatów w polach Do, DW lub BCC.

    Aby uzyskać więcej informacji na temat działania tej opcji, zobacz Nie przesyłaj dalej opcji wiadomości e-mail.

  • Tylko szyfrowanie: adresaci mają wszystkie prawa użytkowania z wyjątkiem opcji Zapisz jako, Eksportuj i Pełna kontrola. Ta kombinacja praw użytkowania oznacza, że adresaci nie mają żadnych ograniczeń, z wyjątkiem tego, że nie mogą usunąć ochrony. Na przykład adresat może skopiować wiadomość e-mail, wydrukować ją i przesłać dalej.

    Aby uzyskać więcej informacji na temat działania tej opcji, zobacz Opcja tylko szyfrowania dla wiadomości e-mail.

Niezaszyfrowane dokumenty pakietu Office dołączone do wiadomości e-mail automatycznie dziedziczą te same ograniczenia. W przypadku pozycji Nie przesyłaj dalej prawa użytkowania stosowane do tych dokumentów to Edytuj zawartość, Edytuj; Zapisz; Wyświetl, Otwórz, Odczyt; i Zezwalaj na makra. Jeśli użytkownik chce mieć inne prawa użytkowania załącznika lub załącznik nie jest dokumentem pakietu Office, który obsługuje tę dziedziczoną ochronę, użytkownik musi zaszyfrować plik przed dołączeniem go do wiadomości e-mail.

Uprawnienia programów Word, PowerPoint i Excel

W programach Word, PowerPoint i Excel, gdy użytkownik stosuje etykietę poufności, która umożliwia mu przypisywanie uprawnień do dokumentu, użytkownik jest monitowany o określenie wyboru użytkowników i uprawnień do szyfrowania.

Na przykład w przypadku klienta ujednoliconego etykietowania usługi Azure Information Protection, chyba że włączono współtworzenie, użytkownicy mogą:

  • Wybierz poziom uprawnień, taki jak Przeglądarka (która przypisuje uprawnienie Tylko widok) lub Co-Author (który przypisuje uprawnienia Widok, Edycja, Kopiuj i Drukuj).
  • Wybierz użytkowników, grupy lub organizacje. Może to obejmować osoby zarówno w organizacji, jak i poza nią.
  • Ustaw datę wygaśnięcia, po której wybrani użytkownicy nie mogą uzyskać dostępu do zawartości. Aby uzyskać więcej informacji, zobacz powyższą sekcję Licencja użycia usługi Rights Management na potrzeby dostępu w trybie offline.

Opcje ochrony użytkownika przy użyciu uprawnień niestandardowych.

W przypadku wbudowanego etykietowania oraz dla klienta ujednoliconego etykietowania usługi Azure Information Protection, gdy jest włączone współtworzenie, użytkownicy widzą to samo okno dialogowe, tak jak w przypadku wybrania następujących opcji:

  • Windows: Karta Plik > Ochrona > dokumentu > — ograniczanie dostępu****z ograniczonym dostępem >

  • macOS: karta Przeglądanie >Uprawnienia > ochrony > ograniczony dostęp

Porada

Jeśli użytkownicy byli zaznajomieni z konfigurowaniem uprawnień niestandardowych przy użyciu klienta ujednoliconego etykietowania usługi Azure Information Protection przed włączeniem współtworzenia, warto przejrzeć mapowanie poziomów uprawnień na indywidualne prawa użytkowania: Prawa uwzględnione na poziomach uprawnień.

Przykładowe konfiguracje ustawień szyfrowania

Dla każdego poniższego przykładu wykonaj konfigurację na stronie Szyfrowanie po wybraniu opcji Konfiguruj ustawienia szyfrowania :

Zastosuj opcję szyfrowania w kreatorze etykiet poufności.

Przykład 1: Etykieta, która ma zastosowanie Nie przesyłaj dalej w celu wysyłania zaszyfrowanej wiadomości e-mail na konto Gmail

Ta etykieta jest wyświetlana tylko w programie Outlook i Outlook w sieci Web i należy użyć Exchange Online. Poproś użytkowników, aby wybrali tę etykietę, gdy będą musieli wysłać zaszyfrowaną wiadomość e-mail do osób korzystających z konta Gmail (lub dowolnego innego konta e-mail spoza organizacji).

Użytkownicy wpiszą adres e-mail Gmail w polu Do . Następnie wybierają etykietę, a opcja Nie przesyłaj dalej jest automatycznie dodawana do wiadomości e-mail. W rezultacie adresaci nie mogą przesyłać dalej wiadomości e-mail ani drukować jej, kopiować ani zapisywać wiadomości e-mail poza skrzynką pocztową przy użyciu opcji Zapisz jako .

  1. Na stronie Szyfrowanie : Aby przypisać uprawnienia teraz lub zezwolić użytkownikom na podjęcie decyzji? wybierz pozycję Zezwalaj użytkownikom na przypisywanie uprawnień podczas stosowania etykiety.

  2. Zaznacz pole wyboru: W programie Outlook wymuś ograniczenia równoważne opcji Nie przesyłaj dalej.

  3. Jeśli to pole jest zaznaczone, wyczyść pole wyboru: W programach Word, PowerPoint i Excel monituj użytkowników o określenie uprawnień.

  4. Wybierz pozycję Dalej i zakończ konfigurację.

Przykład 2: Etykieta ograniczająca uprawnienia tylko do odczytu dla wszystkich użytkowników w innej organizacji

Ta etykieta jest odpowiednia do udostępniania bardzo poufnych dokumentów jako tylko do odczytu, a dokumenty zawsze wymagają połączenia internetowego, aby je wyświetlić.

Ta etykieta nie jest odpowiednia dla wiadomości e-mail.

  1. Na stronie Szyfrowanie : Aby przypisać uprawnienia teraz lub zezwolić użytkownikom na podjęcie decyzji? wybierz pozycję Przypisz uprawnienia teraz.

  2. W obszarze Zezwalaj na dostęp w trybie offline wybierz pozycję Nigdy.

  3. Wybierz pozycję Przypisz uprawnienia.

  4. W okienku Przypisywanie uprawnień wybierz pozycję Dodaj określone adresy e-mail lub domeny.

  5. W polu tekstowym wprowadź nazwę domeny z innej organizacji, na przykład fabrikam.com. Następnie wybierz pozycję Dodaj.

  6. Wybierz pozycję Wybierz uprawnienia.

  7. W okienku Wybierz uprawnienia wybierz pole rozwijane, wybierz pozycję Podgląd, a następnie wybierz pozycję Zapisz.

  8. W okienku Przypisywanie uprawnień wybierz pozycję Zapisz.

  9. Na stronie Szyfrowanie wybierz pozycję Dalej i zakończ konfigurację.

Przykład 3. Dodawanie użytkowników zewnętrznych do istniejącej etykiety, która szyfruje zawartość

Nowi użytkownicy, których dodasz, będą mogli otwierać dokumenty i wiadomości e-mail, które zostały już chronione za pomocą tej etykiety. Uprawnienia przyznawane tym użytkownikom mogą różnić się od uprawnień istniejących użytkowników.

  1. Na stronie Szyfrowanie : Aby przypisać uprawnienia teraz, czy zezwolić użytkownikom na podjęcie decyzji? upewnij się, że teraz wybrano opcję Przypisz uprawnienia .

  2. Wybierz pozycję Przypisz uprawnienia.

  3. W okienku Przypisywanie uprawnień wybierz pozycję Dodaj określone adresy e-mail lub domeny.

  4. W polu tekstowym wprowadź adres e-mail pierwszego użytkownika (lub grupy), który chcesz dodać, a następnie wybierz pozycję Dodaj.

  5. Wybierz pozycję Wybierz uprawnienia.

  6. W okienku Wybierz uprawnienia wybierz uprawnienia tego użytkownika (lub grupy), a następnie wybierz pozycję Zapisz.

  7. W okienku Przypisywanie uprawnień powtórz kroki od 3 do 6 dla każdego użytkownika (lub grupy), który chcesz dodać do tej etykiety. Następnie kliknij przycisk Zapisz.

  8. Na stronie Szyfrowanie wybierz pozycję Dalej i zakończ konfigurację.

Przykład 4: Etykieta, która szyfruje zawartość, ale nie ogranicza tego, kto może uzyskać do niej dostęp

Ta konfiguracja ma tę zaletę, że nie trzeba określać użytkowników, grup ani domen w celu szyfrowania wiadomości e-mail lub dokumentu. Zawartość będzie nadal szyfrowana i nadal można określić prawa użytkowania, datę wygaśnięcia i dostęp w trybie offline.

Ta konfiguracja jest używana tylko wtedy, gdy nie trzeba ograniczać tego, kto może otworzyć chroniony dokument lub wiadomość e-mail. Więcej informacji na temat tego ustawienia

  1. Na stronie Szyfrowanie : Aby przypisać uprawnienia teraz, czy zezwolić użytkownikom na podjęcie decyzji? upewnij się, że teraz wybrano opcję Przypisz uprawnienia .

  2. Skonfiguruj ustawienia dostępu użytkownika do zawartości wygasa i zezwalaj na dostęp w trybie offline zgodnie z wymaganiami.

  3. Wybierz pozycję Przypisz uprawnienia.

  4. W okienku Przypisywanie uprawnień wybierz pozycję Dodaj wszystkich uwierzytelnionych użytkowników.

    W obszarze Użytkownicy i grupy zobaczysz automatycznie dodawanych uwierzytelnionych użytkowników . Nie można zmienić tej wartości, tylko ją usunąć, co spowoduje anulowanie wyboru Dodaj uwierzytelnionych użytkowników .

  5. Wybierz pozycję Wybierz uprawnienia.

  6. W okienku Wybierz uprawnienia wybierz pole rozwijane, wybierz odpowiednie uprawnienia, a następnie wybierz pozycję Zapisz.

  7. W okienku Przypisywanie uprawnień wybierz pozycję Zapisz.

  8. Na stronie Szyfrowanie wybierz pozycję Dalej i zakończ konfigurację.

Zagadnienia dotyczące zaszyfrowanej zawartości

Szyfrowanie najbardziej poufnych dokumentów i wiadomości e-mail pomaga zagwarantować, że tylko autoryzowane osoby będą mogły uzyskiwać dostęp do tych danych. Należy jednak wziąć pod uwagę pewne kwestie:

  • Jeśli Twoja organizacja nie włączyła etykiet poufności dla plików pakietu Office w programach SharePoint i OneDrive:

    • Wyszukiwanie, zbierania elektronicznych materiałów dowodowych i aplikacji Delve nie będą działać w przypadku zaszyfrowanych plików.
    • Zasady DLP działają dla metadanych tych zaszyfrowanych plików (w tym informacji o etykietach przechowywania), ale nie dla zawartości tych plików (takich jak numery kart kredytowych w plikach).
    • Użytkownicy nie mogą otwierać zaszyfrowanych plików przy użyciu Office w sieci Web. Gdy etykiety poufności dla plików pakietu Office w programach SharePoint i OneDrive są włączone, użytkownicy mogą używać Office w sieci Web do otwierania zaszyfrowanych plików, z pewnymi ograniczeniami, które obejmują szyfrowanie, które zostało zastosowane przy użyciu klucza lokalnego (znanego jako "hold your own key" lub HYOK), podwójne szyfrowanie kluczy i szyfrowanie, które zostało zastosowane niezależnie od etykiety poufności.
  • Jeśli udostępniasz zaszyfrowane dokumenty osobom spoza organizacji, może być konieczne utworzenie kont gościa i zmodyfikowanie zasad dostępu warunkowego. Aby uzyskać więcej informacji, zobacz Udostępnianie zaszyfrowanych dokumentów użytkownikom zewnętrznym.

  • Gdy autoryzowani użytkownicy otwierają zaszyfrowane dokumenty w swoich aplikacjach pakietu Office, widzą nazwę etykiety i opis na żółtym pasku komunikatów w górnej części aplikacji. Gdy uprawnienia szyfrowania rozciągają się na osoby spoza organizacji, dokładnie przejrzyj nazwy etykiet i opisy, które będą widoczne na tym pasku komunikatów po otwarciu dokumentu.

  • Aby wielu użytkowników mogło edytować zaszyfrowany plik w tym samym czasie, wszyscy użytkownicy muszą używać Office dla sieci web lub włączono współtworzenie plików zaszyfrowanych za pomocą etykiet poufności, a wszyscy użytkownicy mają aplikacje pakietu Office obsługujące tę funkcję. Jeśli tak nie jest, a plik jest już otwarty:

    • W aplikacjach pakietu Office (Windows, Mac, Android i iOS) użytkownicy widzą komunikat Plik w użyciu z nazwiskiem osoby, która wyewidencjonowała plik. Następnie mogą wyświetlać kopię tylko do odczytu lub zapisywać i edytować kopię pliku oraz otrzymywać powiadomienia, gdy plik jest dostępny.
    • W Office dla sieci web użytkownicy widzą komunikat o błędzie, że nie mogą edytować dokumentu z innymi osobami. Następnie mogą wybrać pozycję Otwórz w widoku do czytania.
  • Funkcja automatycznego zapisywania w aplikacjach pakietu Office jest wyłączona dla zaszyfrowanych plików, jeśli nie włączono współtworzyła plików zaszyfrowanych przy użyciu etykiet poufności. Użytkownicy widzą komunikat, że plik ma ograniczone uprawnienia, które muszą zostać usunięte przed włączeniem automatycznego zapisywania.

  • Pakiet Office dla systemu Windows obsługuje etykiety, które stosują szyfrowanie, gdy użytkownicy nie są połączeni z Internetem. Jednak w przypadku innych platform (macOS, iOS, Android) użytkownicy muszą być w trybie online, aby stosować te etykiety w aplikacjach pakietu Office. Klient ujednoliconego etykietowania usługi Azure Information Protection musi być również w trybie online, aby zastosować te etykiety w Eksplorator plików i programie PowerShell. Użytkownicy nie muszą być w trybie online, aby otwierać zaszyfrowaną zawartość. Aby uzyskać więcej informacji na temat dostępu w trybie offline, zobacz sekcję Rights Management use license for offline access (Licencja na korzystanie z usługi Rights Management w trybie offline).

  • Otwieranie zaszyfrowanych plików może trwać dłużej w aplikacjach pakietu Office (Windows, Mac, Android i iOS).

  • Jeśli etykieta, która stosuje szyfrowanie, zostanie dodana przy użyciu aplikacji pakietu Office, gdy dokument zostanie wyewidencjonowany w programie SharePoint, a następnie użytkownik odrzuci wyewidencjonowanie, dokument pozostanie oznaczony etykietą i zaszyfrowany.

  • Jeśli nie włączono współtworzynia plików zaszyfrowanych przy użyciu etykiet poufności, następujące akcje dla zaszyfrowanych plików nie są obsługiwane przez aplikacje pakietu Office (Windows, Mac, Android i iOS), a użytkownicy widzą komunikat o błędzie informujący o tym, że wystąpił problem. Jednak funkcje programu SharePoint mogą być używane jako alternatywa:

Aby uzyskać najlepsze środowisko współpracy dla plików zaszyfrowanych za pomocą etykiety poufności, zalecamy używanie etykiet poufności dla plików pakietu Office w programach SharePoint i OneDrive oraz Office dla sieci web.

Następne kroki

Chcesz udostępnić dokumenty oznaczone etykietami i zaszyfrowane osobom spoza organizacji? Zobacz Udostępnianie zaszyfrowanych dokumentów użytkownikom zewnętrznym.