Часто задаваемые вопросы о защите данных в Azure Information Protection

Область применения: Azure Information Protection, Office 365

*Подходит для: Административный клиент и классический клиент с меткой. Дополнительные сведения см. в разделе вопросы и ответы для классического клиента. *

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Есть вопрос о службе защиты данных Azure Rights Management, используемой в Azure Information Protection? Проверьте, был ли здесь дан на него ответ.

Должны ли файлы, защищаемые при помощи Azure Rights Management, обязательно находиться в облаке?

Нет, это распространенное заблуждение. Служба Azure Rights Management (и корпорация Майкрософт) не считывает и не сохраняет ваши данные в рамках процесса защиты информации. Сведения, которые вы защищаете, никогда не отправляются и не сохраняются в Azure, если только вы явным образом не сохраняете их в Azure или не используйте другую облачную службу, которая сохраняет их в Azure.

Дополнительные сведения см. в разделе как работает Azure RMS? Изнутри, чтобы понять, как созданная и хранящаяся в локальной Cola формуле защищается службой Azure Rights Management, но остается локальной.

В чем разница между шифрованием и шифрованием Azure Rights Management в других облачных службах Майкрософт?

Корпорация Майкрософт предоставляет множество технологий шифрования, которые позволяют защитить ваши данные в рамках разных и зачастую второстепенных случаев использования. Например, хотя Microsoft 365 предлагает шифрование неактивных данных, хранящихся в Microsoft 365, служба Rights Management Azure Azure Information Protection независимо шифрует данные, обеспечивая их защиту независимо от того, где они находятся, или как она передается.

Эти технологии шифрования являются вспомогательными, и их необходимо включить и настроить по отдельности. При этом у вас может быть возможность использовать собственный ключ для шифрования (этот сценарий называется "BYOK"). Использование BYOK в рамках одной из этих технологий не влияет на остальные. Например, вы можете использовать BYOK для Azure Information Protection и не использовать BYOK в рамках других технологий шифрования и наоборот. Ключи, используемые в этих разных технологиях, могут совпадать или отличаться, в зависимости от способа настройки параметров шифрования для каждой из служб.

Можно ли теперь использовать BYOK с Exchange Online?

Да, теперь вы можете использовать BYOK с Exchange Online при выполнении инструкций в разделе Настройка новых возможностей шифрования сообщений Microsoft 365, созданных на основе Azure Information Protection. Они позволяют включить в Exchange Online новые возможности, поддерживающие использование BYOK для Azure Information Protection, а также новую функцию шифрования сообщений Office 365.

Дополнительные сведения об этом изменении см. в объявлении блога о шифровании сообщений Office 365 с новыми возможностями

Где найти сведения о сторонних решениях, которые интегрируются с Azure RMS?

Многие поставщики программного обеспечения уже имеют или реализуют решения, интегрируемые с Azure Rights Management, и их число быстро растет. Может оказаться полезным проверить списки приложений RMS-поддержкой и получить последние обновления от корпорации Майкрософт Mobility@MSFTMobility в Twitter. Вы можете публиковать любые конкретные вопросы по интеграции на Azure Information Protection сайте Yammer.

Существует ли пакет управления или похожий механизм мониторинга для соединителя RMS?

Несмотря на то, что соединитель Rights Management регистрирует сведения, предупреждения и сообщения об ошибках в журнале событий, отсутствует пакет управления, который включает наблюдение за этими событиями. Однако список событий и их описания с дополнительными сведениями, которые помогут выполнить корректирующие действия, описан в статье мониторинг соединителя Microsoft Rights Management.

Как создать настраиваемый шаблон на портале Azure?

Настраиваемые шаблоны были перемещены на портал Azure, где можно продолжать управлять ими как шаблонами или преобразовывать их в метки. Чтобы создать шаблон, создайте метку и настройте параметры защиты данных для Azure RMS. На самом деле создается шаблон, к которому затем могут обращаться службы и приложения, интегрируемые с шаблонами Rights Management.

Дополнительные сведения о шаблонах на портале Azure см. в статье Настройка шаблонов и управление ими в Azure Information Protection.

Документ защищен, и теперь я хочу изменить права использования или добавить пользователей. Нужно ли мне повторно защищать документ?

Если документ был защищен с помощью метки или шаблона, его не нужно повторно защищать. Измените метку или шаблон путем внесения изменений в права на использование или добавьте новые группы либо пользователей, а затем сохраните эти изменения.

  • Если пользователь не открывал документ до того, как вы внесли изменения, они вступят в силу при открытии.

  • Если пользователь уже открывал документ, изменения вступят в силу по истечении срока действия лицензии на использование. Повторно защищать документ нужно, только если вы не можете дождаться истечения срока действия лицензии на использование. Повторная защита фактически создает новую версию документа и, следовательно, новую лицензию для пользователя.

Кроме того, если вы уже настроили группу для требуемых разрешений, вы можете изменить членство в группе, включив или исключив пользователей. Для этого не нужно менять метку или шаблон. Перед вступлением изменений в силу может возникнуть небольшая задержка, так как служба Azure Rights Management кэширует членство в группе.

Если документ был защищен с помощью пользовательских разрешений, невозможно изменить разрешения для существующего документа. Необходимо повторно защитить документ и указать всех пользователей и все права на использование, необходимые для этой новой версии документа. Для повторной защиты защищенного документа требуется право на использование с полным доступом.

Совет. Чтобы проверить, защищен ли документ с помощью шаблона или настраиваемого разрешения, используйте командлет PowerShell Get-AIPFileStatus. Если это настраиваемое разрешение, вы обязательно увидите описание шаблона ограниченного доступа с уникальным идентификатором шаблона, который не отображается при запуске Get-RMSTemplate.

У меня есть гибридное развертывание Exchange, где некоторые пользователи находятся в Exchange Online, а другие пользователи на сервере Exchange Server, — это поддерживается Azure RMS?

Да, и более того, пользователи могут легко защищать и открывать защищенные письма и вложения в обоих развертываниях Exchange. Для этой конфигурации следует активировать Azure RMS и включить управление правами на доступ к данным для Exchange Online, а затем провести развертывание и настройку соединителя RMS для Exchange Server.

Если я настрою такую защиту для своей рабочей среды, будет ли моя компания затем привязана к этому решению и рискует ли она потерять доступ к содержимому, которое защищено при помощи Azure RMS?

Нет, вы всегда сохраняете контроль над данными и сможете продолжать пользоваться ими, даже если решили больше не использовать службу Azure Rights Management. Дополнительные сведения см. в разделе списание и деактивация Rights Management Azure.

Могу ли я указывать пользователей, которым разрешено защищать содержимое с помощью Azure RMS?

Да, в службе Azure Rights Management можно контролировать ее доступность для пользователей. Дополнительные сведения см. в разделе Настройка элементов управления адаптации для поэтапного развертывания статьи Активация службы защиты из Azure Information Protection .

Могу ли я запретить пользователям предоставлять общий доступ к защищенным документам конкретных организаций?

Одним из важнейших преимуществ использования службы Azure Rights Management в целях защиты данных является поддержка совместной работы организаций без необходимости настраивать явные отношения доверия для каждой партнерской организации, так как за проверку подлинности отвечает Azure AD.

Администратор не может запретить пользователям безопасно предоставлять доступ к документам конкретных организаций. Например, вы хотите заблокировать организацию, которой вы не доверяете или которой присвоена деятельность. Предотвратить отправку защищенных документов пользователям в этих организациях с помощью службы Rights Management Azure не имеет смысла, так как пользователи будут совместно использовать свои документы незащищенными, что, вероятно, будет последним делом в этом сценарии. Например, вы не сможете понять, кто является общим документом компании, с помощью которого пользователи в этих организациях могут выполнять действия, когда документ (или электронная почта) защищен службой Rights Management Azure.

Если предоставить доступ к защищенному документу кому-либо за пределами компании, как для этого пользователя выполняется проверка подлинности?

По умолчанию служба Azure Rights Management использует учетную запись Azure Active Directory и связанный адрес электронной почты для проверки подлинности пользователя, что делает совместную работу между организациями прозрачной для администраторов. Если другая организация использует службы Azure, для пользователей будут созданы учетные записи в Azure Active Directory, даже если эти учетные записи создаются и контролируются локально и затем синхронизируются в Azure. Если организация имеет Microsoft 365, в рамках этой службы также использует Azure Active Directory для учетных записей пользователей. Если в организации пользователя нет управляемых учетных записей в Azure, пользователи могут зарегистрироваться для работы с RMS для частных лиц, что создает неуправляемый клиент Azure и каталог для Организации с учетной записью пользователя, чтобы этот пользователь (и последующие пользователи) мог пройти проверку подлинности для службы Rights Management Azure.

Метод проверки подлинности для этих учетных записей может изменяться в зависимости от того, как администратор в другой организации настроил учетные записи Azure Active Directory. Например, они могут использовать пароли, которые были созданы для этих учетных записей, а также федерацию или пароли, созданные в доменных службах Active Directory и затем синхронизированные с Azure Active Directory.

Другие методы проверки подлинности:

  • Если вы защитите сообщение электронной почты с вложенным документом Office, направленное пользователю, у которого нет учетной записи в Azure AD, способ проверки подлинности изменится. Служба Azure Rights Management входит в федерацию с некоторыми популярными поставщиками удостоверений в социальных сетях, например Gmail. Если поставщик услуг электронной почты пользователя поддерживается, пользователь может войти в эту службу, переложив функции проверки подлинности на поставщика. Если поставщик пользователя не поддерживается или имеются другие предпочтения, пользователь может запросить одноразовый секретный код, позволяющий пройти проверку подлинности и отобразить сообщение электронной почты с защищенным документом в веб-браузере.

  • В Azure Information Protection можно использовать учетные записи Майкрософт для поддерживаемых приложений. Сейчас не все приложения могут открыть защищенное содержимое, если для аутентификации используется учетная запись Майкрософт. Дополнительные сведения

Можно ли добавить внешних пользователей (людей из-за пределов моей организации) в пользовательские шаблоны?

Да. На портале Azure можно настроить параметры защиты, чтобы добавлять разрешения для пользователей и групп за пределами вашей организации и даже для всех пользователей в другой организации. Возможно, для вас будет полезен пошаговый пример в статье Secure document collaboration by using Azure Information Protection (Безопасная совместная работа с документами с использованием Azure Information Protection).

Обратите внимание, что при наличии меток Azure Information Protection необходимо сначала преобразовать пользовательский шаблон в метку и только затем настраивать эти параметры защиты на портале Azure. Дополнительные сведения см. в статье Настройка шаблонов и управление ими в Azure Information Protection.

С помощью PowerShell можно добавить внешних пользователей в пользовательские шаблоны (и метки). Для этой конфигурации необходимо использовать объект определения прав, который применяется для обновления шаблона:

  1. Укажите внешние адреса электронной почты и их права в объекте определения прав, используя командлет New-аипсервицеригхтсдефинитион для создания переменной.

  2. Укажите эту переменную для параметра RightsDefinition с помощью командлета Set-аипсервицетемплатепроперти .

    При добавлении пользователей в существующий шаблон необходимо определить объекты определения прав для существующих пользователей в шаблонах в дополнение к новым пользователям. В этом сценарии может оказаться полезным шаг Пример 3. Добавление новых пользователей и прав в пользовательский шаблон из раздела Примеры для командлета.

Какой тип групп можно использовать в Azure RMS?

В большинстве случаев вы можете использовать в Azure AD любой тип групп, имеющий адрес электронной почты. Это общее правило всегда применяется при назначении прав на использование, но существуют некоторые исключения для администрирования службы Azure Rights Management. Дополнительные сведения см. в разделе Требования Azure Information Protection к учетным записям групп.

Как отправлять защищенные сообщения электронной почты в учетную запись Gmail или Hotmail?

При использовании Exchange Online и службы Azure Rights Management вы просто отправляете пользователям сообщение электронной почты в качестве защищенного сообщения. Например, можно нажать новую кнопку Защитить на панели команд в Outlook в Интернете, использовать кнопку или пункт меню Outlook Не пересылать. Или можно выбрать метку Azure Information Protection, которая автоматически применяет параметр "Не пересылать" и классифицирует сообщение электронной почты.

Получатель может войти в учетную запись Gmail, Yahoo или Майкрософт и прочитать защищенное письмо. Кроме того, администраторы могут настроить выдачу одноразового пароля для чтения электронной почты в браузере.

Для поддержки этого сценария нужно включить Exchange Online для службы Azure Rights Management и новых возможностей шифрования сообщений Office 365. Дополнительные сведения об этой конфигурации см. в разделе Exchange Online: настройка службы управления правами на доступ к данным.

Дополнительные сведения о новых возможностях, поддерживающих все учетные записи электронной почты на всех устройствах, см. в следующей записи блога, где объявляются новые возможности, доступные для шифрования сообщений Office 365.

Какие устройства и типы файлов поддерживаются Azure RMS?

Список устройств, которые поддерживают службу Azure Rights Management, см. в статье Клиентские устройства, поддерживающие защиту данных Azure Rights Management. Так как не все поддерживаемые устройства в настоящее время поддерживают все возможности Rights Management, также проверьте таблицы для приложений RMS-поддержкой.

Служба Azure Rights Management поддерживает все типы файлов. Для текстовых файлов, изображений, файлов Microsoft Office (Word, Excel, PowerPoint), PDF-файлов и некоторых других типов файлов Azure Rights Management обеспечивает собственную защиту, включающую шифрование и применение прав доступа (разрешений). Для других типов приложений и файлов универсальная защита обеспечивает инкапсуляцию файлов и проверку подлинности, чтобы проверить, авторизован ли пользователь для открытия файла.

Список расширений имен файлов, которые поддерживает служба Azure Rights Management, см. в статье Руководство администратора. Типы файлов, поддерживаемые клиентом Azure Information Protection. Не указанные в списке расширения имен файлов поддерживаются с помощью клиента Azure Information Protection, который автоматически применяет универсальную защиту к этим файлам.

Когда я открываю документ Office, защищенный с помощью RMS, распространяется ли эта защита и на соответствующий временный файл?

Нет. В этом сценарии связанный временный файл не содержит данных из исходного документа, а только то, что пользователь вводит во время открытия файла. В отличие от исходного файла временный файл не предназначен для совместного использования и остается на устройстве, где он находится под защитой средств локальной безопасности, таких как BitLocker и EFS.

Функция, которую я ищу, не работает с библиотеками, защищенными с помощью SharePoint — поддержка моей функции запланирована?

В настоящее время Microsoft SharePoint поддерживает защищенные RMS документы с помощью библиотек с защитой IRM, которые не поддерживают шаблоны Rights Management, отслеживание документов и другие возможности. Дополнительные сведения см. в разделе SharePoint в Microsoft 365 и SharePoint Server статьи о приложениях и службах Office .

Если вы заинтересованы в конкретной возможности, которая еще не поддерживается, следите за объявлениями в блоге Enterprise Mobility and Security.

Разделы справки настроить один диск в SharePoint, чтобы пользователи могли безопасно обмениваться своими файлами с людьми внутри компании и за ее пределами?

По умолчанию администратор Microsoft 365 не настраивает его. пользователи выполняют.

Точно так же, как администратор сайта SharePoint включает и настраивает IRM для библиотеки SharePoint, которой они принадлежат, OneDrive предназначена для включения и настройки IRM для собственной библиотеки OneDrive. Однако с помощью PowerShell вы сможете сделать это для них. Инструкции см. в разделе SharePoint в Microsoft 365 и OneDrive: Настройка IRM.

Есть ли у вас какие-либо советы и рекомендации по успешному развертыванию?

После наблюдения за многими развертываниями, а также общения с клиентами, партнерами, консультантами и инженерами поддержки можно дать один важный совет: Создавайте и развертывайте простые политики.

Так как Azure Information Protection поддерживает защищенную передачу файлов любым пользователям, вы можете защитить большое количество файлов. Но при настройке ограничений для прав на использование нужно соблюдать осторожность. Во многих организациях для бизнеса больше всего важна защита от утечки данных, достигаемая путем предоставления доступа лишь сотрудникам организации. Конечно, вы можете получить гораздо более детализированные сведения, чем при необходимости — запретить пользователям печать, редактирование и т. д. Но вы должны иметь более детализированные ограничения, чем исключение для документов, которым действительно требуется высокий уровень безопасности, и не реализовывать эти более строгие права на использование в один день, но запланировать более поэтапный подход.

Как восстановить доступ к файлам, которые были защищены, если сотрудник уволился из организации?

Используйте функцию суперпользователя, которая предоставляет авторизованным пользователям полные права на использование для всех документов и сообщений, защищаемых вашим клиентом. Суперпользователи могут в любое время читать защищенное содержимое, а при необходимости также отключать или снова включать защиту для разных пользователей. Эта же функция позволяет авторизованным службам индексировать и проверять файлы при необходимости.

Если содержимое хранится в SharePoint или OneDrive, администраторы могут запустить командлет Unlock-сенситивитилабеленкриптедфиле , чтобы удалить метку чувствительности и шифрование. Дополнительные сведения см. в документации по Microsoft 365.

Может ли Rights Management блокировать создание снимков экрана?

Если не предоставить право на использование копии , Rights Management может препятствовать воссозданию снимков экрана из многих широко используемых средств захвата экрана на платформах Windows (Windows 7, Windows 8.1, Windows 10 и Windows 10 Mobile). Однако устройства iOS, Mac и Android не позволяют приложениям предотвращать снимки экрана. Не могут это делать и браузеры на каких-либо устройствах Использование браузера включает Outlook в Интернете и Office для Интернета.

Предотвращение создания снимков экрана может помочь избежать случайного или неумышленного разглашения конфиденциальной информации. Но существует множество способов, с помощью которых пользователь может обмениваться данными, отображаемыми на экране, и делать снимок экрана — только один метод. Например, пользователь, который хочет поделиться отображаемой на экране информацией, может просто сфотографировать ее камерой мобильного телефона, переписать ее или просто устно сообщить ее кому-то другому.

Как показывают эти примеры, даже если бы все платформы и все программное обеспечение поддерживали API-интерфейсы Rights Management для блокирования снимков экрана, технология сама по себе не всегда может запретить разглашение данных, которые должны храниться в секрете. Служба Rights Management может помочь защитить важные данные путем авторизации и политик использования, но это решение по управлению правами должно использоваться совместно с другими мерами. Например, реализуйте физическую безопасность, тщательно следите за поведением людей, которым предоставлен доступ к данным организации, и вкладывайте средства в образование пользователей, чтобы они поняли, какими данными делиться нельзя.

Чем отличается защита сообщения электронной почты с помощью параметра "Не пересылать" от защиты с помощью шаблона без права пересылки?

Несмотря на свое имя и внешний вид, параметр Не пересылать не является ни шаблоном, ни противоположностью права пересылки. На самом деле, это набор прав, включающий в себя ограниченный способ копирования, печати и сохранения сообщения электронной почты за пределами почтового ящика, а также возможность ограничивать пересылку сообщений. Права динамически применяются к пользователям с помощью функции выбора получателей. Они не назначаются администратором статически. Дополнительные сведения см. в разделе параметр не пересылать для сообщений электронной почты статьи Настройка прав на использование для Azure Information Protection.