Как приложения и службы Office поддерживают Azure Rights Management

Область применения: Azure Information Protection, Office 365

К чему относится: клиент унифицированных меток и классический клиент AIP.

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Службы и приложения Office для конечных пользователей могут использовать службу Azure Rights Management из Azure Information Protection для защиты данных организации. Этими приложениями Office являются Word, Excel, PowerPoint и Outlook, Службы Office — это Exchange и Microsoft SharePoint. В конфигурациях Office, которые поддерживают службу Azure Rights Management, часто используется термин управление правами на доступ к данным (IRM).

Приложения Office 365: Word, Excel, PowerPoint, Outlook

Эти приложения поддерживают встроенную в Azure Rights Management и позволяют пользователям применять защиту к сохраненному документу или отправляемому электронному сообщению. Пользователи могут использовать шаблоны для применения защиты. Или в приложениях Word, Excel и PowerPoint они могут выбирать специальные параметры для ограничений доступа, прав и использования.

Например, пользователи могут настроить документ Word так, чтобы он был доступен только сотрудникам вашей организации. Или контролировать возможность редактирования электронной таблицы Excel, предоставлять к ней доступ только для чтения или запретить ее печать. Для зависимых от времени файлов можно настроить срок действия, после которого файл станет недоступным. Эту конфигурацию могут выполнить пользователи или же можно применить шаблон защиты. В Outlook пользователи также могут выбирать параметр Do Not Forward (Не пересылать), чтобы предотвратить утечку данных.

Если вы готовы к настройке приложений Office, см. раздел приложения Office: Настройка для клиентов.

Сведения о соответствующих известных проблемах см. в статье об известных проблемах, возникающих в приложениях Office.

Exchange Online и Exchange Server

При использовании Exchange Online или Exchange Server можно настроить параметры для Azure Information Protection. Благодаря этой конфигурации Exchange предоставляют следующие решения для защиты.

  • Exchange ActiveSync IRM позволяет мобильным устройствам защищать сообщения электронной почты и использовать защищенные сообщения.

  • Поддержка защиты электронной почты Outlook в Интернете, которая реализуется так же, как в клиенте Outlook. Эта конфигурация позволяет пользователям защищать сообщения электронной почты с помощью шаблонов защиты или параметров. Пользователи могут читать и использовать защищенные сообщения, которые были им отправлены.

  • Правила защиты для клиентов Outlook, настраиваемые администраторами для автоматического применения шаблонов защиты и параметров к сообщениям электронной почты для указанных получателей. Например, можно разрешить чтение внутренних сообщений электронной почты, отправленных в юридический отдел, только сотрудникам юридического отдела, и запретить пересылку таких сообщений. Пользователь видит защиту, которая применяется к сообщению электронной почты, еще до его отправки, и по умолчанию может удалить ее, если сочтет излишней. Перед отправкой сообщения электронной почты шифруются. Дополнительные сведения см. в разделах Правила защиты Outlook и Создание правила защиты Outlook в библиотеке Exchange.

  • Правила потока обработки почты, настраиваемые администратором для автоматического применения шаблонов защиты или параметров к сообщениям электронной почты. Эти правила основаны на свойствах, таких как отправитель, получатель, тема сообщения и содержимое. По своей концепции эти правила аналогичны правилам защиты, но они не позволяют пользователям снимать защиту, так как защита устанавливается с помощью службы Exchange, а не с помощью клиента. Поскольку защита устанавливается с помощью службы, тип устройства и операционная система пользователей не имеют значения. Дополнительные сведения см. в разделах Правила потока почты (транспортные правила) в Exchange Online и Создание правила защиты транспорта для локального Exchange.

  • Политики защиты от потери данных (DLP), содержащие наборы условий для фильтрации сообщений электронной почты и выполняющие действия по защите от потери данных конфиденциального или секретного содержимого. Одно из действий, которые можно указать, — применение шифрования в качестве защиты с указанием одного из шаблонов или параметров защиты. При обнаружении конфиденциальных данных можно использовать подсказки политики, чтобы оповестить пользователей о необходимости применения защиты. Дополнительные сведения см. в статье Защита от потери данных в документации Exchange Online.

  • Шифрование сообщений , поддерживающее отправку защищенных сообщений электронной почты и защищенных документов Office в виде вложений на любой адрес электронной почты на любом устройстве. Для учетных записей пользователей, не использующих Azure AD, веб-интерфейс поддерживает поставщиков удостоверений в социальных сетях или одноразовый пароль. Дополнительные сведения см. в разделе Настройка новых возможностей шифрования сообщений Microsoft 365, созданных на основе Azure Information Protection из документации по Microsoft 365. Сведения о поиске дополнительных сведений, связанных с этой конфигурацией, см. в разделе Microsoft 365 шифрование сообщений.

Если вы используете локальную службу Exchange, вы можете использовать функции IRM в службе Rights Management Azure, развернув соединитель Microsoft Rights Management. Этот соединитель выступает в качестве ретранслятора между локальными серверами и службой Azure Rights Management.

Дополнительные сведения о параметрах электронной почты, которые можно использовать для защиты электронных писем, см. в статье параметр не пересылать для сообщений электронной почты и только для шифрования.

Если вы готовы настроить Exchange для защиты электронной почты, выполните следующие действия:

Дополнительные сведения можно найти в разделе

SharePoint в Microsoft 365 и SharePoint Server

При использовании SharePoint в Microsoft 365 или SharePoint Server можно защитить документы с помощью функции управления правами на доступ к данным SharePoint (IRM). Она позволяет администраторам защищать списки или библиотеки так, чтобы при извлечении пользователем документа скачанный файл был защищен, а просматривать и использовать его могли только авторизованные пользователи, согласно заданным политикам защиты информации. Например, файл может быть открыт только для чтения, или отключено копирование текста, или запрещено создание локальной копии, или запрещена печать файла.

Документы Word, PowerPoint, PDF и Excel поддерживают такой вид защиты IRM в SharePoint. По умолчанию защита ограничена пользователем, скачивающим документ. Эту настройку по умолчанию можно изменить с помощью параметра конфигурации с именем Разрешить защиту групп, который распространяет защиту на указанную вами группу. Например, можно указать группу с разрешением на редактирование документов в библиотеке, чтобы разрешить этой группе редактировать документы за пределами среды SharePoint, независимо от того, кто из пользователей скачал документ. Или же можно указать группу без разрешений в SharePoint, пользователям в которой необходимо получить доступ к документу за пределами SharePoint. Защита для списков и библиотек SharePoint всегда настраивается администратором и никогда — конечным пользователем. Разрешения задаются на уровне узла и по умолчанию их наследует любой список или библиотека на этом сайте. Если вы используете SharePoint в Microsoft 365, пользователи также могут настроить свою библиотеку Microsoft OneDrive для защиты IRM.

Для более детализированного управления можно настроить список или библиотеку на сайте для прекращения наследования разрешений от родительского узла. Затем можно настроить разрешения IRM на этом уровне (уровне списка или библиотеки), после чего они будут называться уникальными разрешениями. Но разрешения всегда задаются на уровне контейнера. Их нельзя задать для отдельных файлов.

Сначала необходимо включить службу IRM для SharePoint. Далее нужно указать разрешения IRM для библиотеки. Для SharePoint и OneDrive пользователи также могут указать разрешения IRM для своей библиотеки OneDrive. SharePoint не использует шаблоны политики прав, хотя параметры конфигурации SharePoint, которые можно выбрать, соответствуют некоторым параметрам, указываемым в шаблонах.

При использовании SharePoint Server эту защиту IRM можно использовать, развернув соединитель Microsoft Rights Management. Этот соединитель выступает в качестве ретранслятора между локальными серверами и облачной службой Rights Management. Дополнительные сведения см. в разделе Развертывание соединителя Microsoft Rights Management.

Примечание

При использовании IRM SharePoint существуют некоторые ограничения.

  • Шаблоны по умолчанию или настраиваемые шаблоны защиты, которыми вы управляете на портале Azure, использовать нельзя.

  • Файлы с расширением PPDF для защищенных PDF-файлов не поддерживаются. Сведения о просмотре защищенных PDF-документов см. в статье Средства чтения защищенных PDF-документов для Microsoft Information Protection.

  • Совместное редактирование, когда несколько пользователей одновременно редактируют документ, не поддерживается. Чтобы изменить документ в библиотеке, защищенной с помощью службы управления правами на доступ к данным, необходимо сначала извлечь и скачать такой документ, а затем отредактировать его в приложении Office. Следовательно только один пользователь может редактировать документ в один момент времени.

Для библиотек, которые не защищены с помощью IRM, при применении защиты только к файлу, который затем отправляется в SharePoint или OneDrive, следующие файлы не работают: совместное создание, Office для Интернета, поиск, предварительный просмотр документов, эскизы, eDiscovery и защита от потери данных (DLP).

Важно!

SharePoint IRM можно использовать в сочетании с метками чувствительности, которые применяют защиту. При одновременном использовании обеих функций поведение изменяется для защищенных файлов. Дополнительные сведения см. в статье Включение меток чувствительности для файлов Office в SharePoint и OneDrive.

При использовании защиты SharePoint IRM служба Azure Rights Management применяет ограничения на использование и шифрование данных для документов при их скачивании из SharePoint (не при первом создании документа в SharePoint или его отправке в библиотеку). Сведения о защите документов перед их загрузкой см. в статье о шифровании данных в OneDrive и SharePoint из документации SharePoint.

Изменения, которые появятся, см. в разделе обновления безопасности, администрирования и миграции SharePoint.

Если вы готовы настроить SharePoint для IRM, см. следующие разделы.

Дальнейшие шаги

Если у вас Microsoft 365, возможно, вас интересуют решения для защиты файлов в Microsoft 365, которые предоставляют Рекомендуемые возможности для защиты файлов в Microsoft 365.

Сведения о том, как другие приложения и службы поддерживают службу Azure Rights Management из Azure Information Protection, см. в статье Как приложения поддерживают службу Azure Rights Management.

Если вы готовы приступить к развертыванию, включая настройку этих приложений и служб, ознакомьтесь с разметкой по развертыванию административной защиты для классификации, добавления меток и обеспечения безопасности.