Подготовка пользователей и групп для Azure Information Protection

Область применения: Azure Information Protection, Office 365

К чему относится: клиент унифицированных меток и классический клиент AIP

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Прежде чем развернуть Azure Information Protection для организации, создайте учетные записи пользователей и групп в Azure AD для клиента организации.

Эти учетные записи можно создать разными способами, в частности:

  • Создать пользователей в центре администрирования Microsoft 365, а группы — в центре администрирования Exchange Online.

  • создать пользователей и группы на портале Azure;

  • создать пользователей и группы с помощью командлетов Azure AD PowerShell и Exchange Online;

  • создать пользователей и группы в локальном каталоге Active Directory и синхронизировать их с Azure AD;

  • создать пользователей и группы в другом каталоге и синхронизировать их с Azure AD.

Пользователи и группы, создаваемые с помощью первых трех способов, автоматически создаются в Azure AD (за одним исключением). Azure Information Protection может использовать эти учетные записи напрямую. Однако во многих корпоративных сетях для создания пользователей и групп и управления ими используется локальный каталог. Azure Information Protection не может использовать такие учетные записи напрямую, их необходимо синхронизировать с Azure AD.

Исключение, которое упоминается в предыдущем абзаце, — это динамические списки рассылки, которые вы можете создавать для Exchange Online. В отличие от статических списков рассылки, такие группы не реплицируются в Azure AD и не могут использоваться в Azure Information Protection.

Как пользователи и группы используются в Azure Information Protection

Есть три варианта использования пользователей и групп в Azure Information Protection:

Для назначения меток пользователям при настройке политики Azure Information Protection, чтобы метки можно было применить к документам и сообщениям электронной почты. Только администраторы могут выбирать этих пользователей и группы.

  • Стандартная политика Azure Information Protection автоматически назначается всем пользователям в клиентской среде Azure AD. Тем не менее можно также назначить дополнительные метки указанным пользователям или группам, используя политики с областью действия.

Для назначения прав на использование и элементов управления доступом при работе со службой Azure Rights Management для защиты документов и сообщений электронной почты. Администраторы и пользователи могут выбирать этих пользователей и группы.

  • Права на использование определяют, могут ли пользователи открыть документ или сообщение электронной почты, а также способ их использования. Например, могут ли они только прочитать их, прочитать и распечатать или прочитать и изменить.

  • Элементы управления доступом включают дату окончания срока действия и необходимость подключения к Интернету для доступа.

Для настройки службы Azure Rights Management в рамках поддержки определенных сценариев. Только администраторы могут выбирать эти группы. Примеры настраиваемых объектов:

  • Суперпользователи, чтобы при необходимости указанные службы и пользователи могли открыть зашифрованное содержимое для eDiscovery или восстановления данных.

  • Делегированное администрирование службы Azure Rights Management.

  • Элементы управления подключением для поддержки поэтапного развертывания.

Требования Azure Information Protection к учетным записям пользователей

Для назначения меток:

  • Все учетные записи пользователей в Azure AD можно использовать для настройки политик с областью действия, с помощью которых пользователям можно назначить дополнительные метки.

Для назначения прав на использование и элементов управления доступом, а также настройки службы Azure Rights Management:

  • Чтобы авторизовать пользователей, в Azure AD используются два атрибута: proxyAddresses и userPrincipalName.

  • Атрибут Azure AD proxyAddresses хранит все адреса электронной почты учетной записи и может заполняться разными способами. Например, пользователь в Microsoft 365 с почтовым ящиком Exchange Online автоматически имеет адрес электронной почты, хранящийся в этом атрибуте. Если назначить альтернативный адрес электронной почты для Microsoft 365 пользователя, он также будет сохранен в этом атрибуте. Атрибут также может заполняться адресами электронной почты, которые синхронизируются из локальных учетных записей.

    Если домен добавлен в клиент и является проверенным, Azure Information Protection может использовать любое значение в этом атрибуте proxyAddresses в Azure AD. См. дополнительные сведения о проверке доменов:

  • Атрибут Azure AD userPrincipalName используется, только если у учетной записи в клиенте нет значений в атрибуте Azure AD proxyAddresses. Например, вы создаете пользователя в портал Azure или создаете пользователя для Microsoft 365, у которых нет почтового ящика.

Назначение внешним пользователям прав на использование и элементов управления доступом

В Azure Information Protection описанные выше атрибуты Azure AD (proxyAddresses и userPrincipalName) используются не только для пользователей в клиенте. Они используются тем же образом для авторизации пользователей из другого клиента.

Другие методы авторизации:

  • Если используются адреса электронной почты вне Azure AD, в Azure Information Protection можно авторизовать их, когда они проходят аутентификацию с помощью учетной записи Майкрософт. Но не все приложения могут открыть защищенное содержимое, если для аутентификации используется учетная запись Майкрософт. Дополнительные сведения

  • Когда пользователю, у которого нет учетной записи в Azure AD, отправляется сообщение электронной почты с помощью шифрования сообщений Office 365 с новыми возможностями, он сначала проходит аутентификацию с помощью федерации с поставщиком удостоверений в социальных сетях или одноразового пароля. Адрес электронной почты, указанный в защищенном сообщении, используется для авторизации пользователя.

Требования Azure Information Protection к учетным записям групп

Для назначения меток:

  • Чтобы настроить политики с областью действия, которые назначают участникам групп дополнительные метки, можно использовать в Azure AD группу любого типа, у которой есть адрес электронной почты с проверенным доменом для клиента пользователя. Группу, у которой есть адрес электронной почты, часто называют группой с поддержкой почты.

    Например, можно использовать группу безопасности с включенной поддержкой электронной почты, статическую группу рассылки и группу Microsoft 365. Вы не можете использовать группу безопасности (динамическую или статическую), так как у группы этого типа нет адреса электронной почты. Вы также можете использовать динамический список рассылки из Exchange Online, так как эта группа не реплицируется в Azure AD.

Для назначения прав на использование и элементов управления доступом:

  • Можно использовать группу любого типа в Azure AD, которая содержит адрес электронной почты с проверенным доменом для клиента пользователя. Группу, у которой есть адрес электронной почты, часто называют группой с поддержкой почты.

Для настройки службы Azure Rights Management:

  • Можно использовать группу любого типа в Azure AD, которая содержит адрес электронной почты из проверенного домена в клиенте. Есть только одно исключение — при настройке элементов управления подключением для использования группы должна использоваться группа безопасности в Azure AD для клиента.

  • Можно использовать любую группу в Azure AD (с адресом электронной почты или без него) из проверенного домена в клиенте для делегированного администрирования службы Azure Rights Management.

Назначение прав внешним группам на использование и элементов управления доступом

В Azure Information Protection атрибут Azure AD proxyAddresses используется не только для групп в клиенте. Он используется тем же образом для авторизации групп из другого клиента.

Использование учетных записей из локального каталога Active Directory в Azure Information Protection

Если у вас есть управляемые локально учетные записи, которые вы хотите использовать в Azure Information Protection, их необходимо синхронизировать с Azure AD. Чтобы упростить развертывание, мы рекомендуем использовать Azure AD Connect. Тем не менее можно использовать любой другой метод синхронизации каталогов.

При синхронизации учетных записей не нужно синхронизировать все атрибуты. Список атрибутов, которые нужно синхронизировать, см. в разделе документации по Azure Active Directory, посвященном Azure RMS.

В списке атрибутов для Azure Rights Management вы увидите, что для пользователей необходимо синхронизировать локальные атрибуты AD mail, proxyAddresses и userPrincipalName. Значения атрибутов mail и proxyAddresses синхронизируются с атрибутом Azure AD proxyAddresses. Дополнительные сведения см. в статье о заполнении атрибута proxyAddresses в Azure AD.

Подтверждение подготовки пользователей и групп для Azure Information Protection

Подтвердить готовность пользователей и групп к использованию в Azure Information Protection можно с помощью Azure AD PowerShell. PowerShell также можно использовать, чтобы проверить значения, которые могут применяться для авторизации.

Например, используя модуль PowerShell MSOnline версии 1 для Azure Active Directory, в сеансе PowerShell можно сначала подключиться к службе и указать учетные данные глобального администратора:

Connect-MsolService

Примечание. Если эта команда не работает, можно запустить Install-Module MSOnline для установки модуля MSOnline.

Затем настройте сеанс PowerShell, чтобы избежать усечения значений:

$Formatenumerationlimit =-1

Подтверждение готовности учетных записей пользователей к использованию в Azure Information Protection

Чтобы подтвердить готовность учетных записей пользователей, выполните следующую команду:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Сначала нужно проверить, отображаются ли пользователи, которых нужно использовать в Azure Information Protection.

Затем проверьте, заполнен ли столбец ProxyAddresses. Если он заполнен, значения адресов электронной почты в этом столбце можно использовать для авторизации пользователя в Azure Information Protection.

Если столбец ProxyAddresses не заполнен, для авторизации пользователей в службе Azure Rights Management будет использоваться значение атрибута UserPrincipalName.

Пример.

Отображаемое имя UserPrincipalName ProxyAddresses
Jagannath Reddy jagannathreddy@contoso.com {}
Ankur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

В данном примере:

  • Учетная запись пользователя для Jagannath Reddy будет авторизации jagannathreddy@contoso.com .

  • Учетная запись пользователя для Ankur Рой может быть разрешена с помощью ankur.roy@contoso.com и ankur.roy@onmicrosoft.contoso.com , но не ankurroy@contoso.com .

В большинстве случаев значение атрибута UserPrincipalName совпадает с одним из значений в поле ProxyAddresses. Это рекомендуемая конфигурация, но если вы не можете изменить имя участника-пользователя в соответствии с адресом электронной почты, сделайте следующее:

  1. Если доменным именем в значении имени участника-пользователя является имя проверенного домена для клиента Azure AD, добавьте это значение в качестве другого адреса электронной почты в Azure AD. Так значение имени участника-пользователя можно будет использовать для авторизации учетной записи пользователя в Azure Information Protection.

    Если доменное имя в значении имени участника-пользователя не является именем проверенного домена для клиента, его нельзя использовать в Azure Information Protection. Однако пользователь все еще может пройти авторизацию как участник группы, если в адресе электронной почты группы используется имя проверенного домена.

  2. Если имя участника-пользователя не поддерживает маршрутизацию (например, ankurroy@contoso.local ), настройте альтернативный идентификатор входа для пользователей и попросите его войти в Office с помощью этого альтернативного имени входа. Необходимо также задать раздел реестра для Office.

    Дополнительные сведения см. в разделе Настройка альтернативного имени входа и приложений Office. периодически запрашиваются учетные данные для SharePoint, OneDrive и Lync Online.

Совет

Вы можете использовать командлет Export-Csv для экспорта результатов в электронную таблицу. Так вы сможете упростить некоторые административные задачи, например поиск и массовое изменение для импорта.

Например: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Примечание

При изменении имени участника-пользователя для пользователей будет утеряна непрерывная работа в течение как минимум 24 часов или до тех пор, пока изменения UPN не будут правильно отражены в системе.

Подтверждение готовности учетных записей групп к использованию в Azure Information Protection

Чтобы подтвердить учетные записи групп, используйте следующую команду:

Get-MsolGroup | select DisplayName, ProxyAddresses

Проверьте, отображаются ли группы, которые нужно использовать в Azure Information Protection. Адреса электронной почты в столбце ProxyAddresses можно использовать для авторизации участников отображаемых групп в службе Azure Rights Management.

Затем проверьте, содержат ли группы пользователей (или другие группы), которые необходимо использовать в рамках работы с Azure Information Protection. Для этого можно использовать PowerShell (например, командлет Get-MsolGroupMember) или портал управления.

Для двух сценариев с конфигурацией службы Azure Rights Management, в которых используются группы безопасности, можно выполнить команду PowerShell ниже, чтобы найти идентификатор объекта и отображаемое имя, которые можно использовать для идентификации этих групп. Можно также использовать портал Azure для поиска этих групп и копирования значений идентификатора объекта и отображаемого имени:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Рекомендации по использованию Azure Information Protection при изменении адресов электронной почты

При изменении адреса электронной почты пользователя или группы рекомендуется добавить прежний адрес электронной почты как дополнительный (также известный как адрес прокси-сервера, псевдоним или запасной адрес электронной почты). При этом прежний адрес электронной почты будет добавлен в атрибут Azure AD proxyAddresses. Такое администрирование учетной записи обеспечивает непрерывность бизнес-процессов для всех прав на использование или других конфигураций, сохраненных при использовании прежнего адреса электронной почты.

Если невозможно добавить прежний адрес, пользователю или группе с новым адресом электронной почты может быть отказано в доступе к документам и письмам, которые ранее были защищены с помощью прежнего адреса. В этом случае необходимо повторно настроить конфигурацию защиты, чтобы сохранить новый адрес электронной почты. Например, если пользователю или группе были предоставлены права на использование в шаблонах или метках, измените эти элементы и укажите новый адрес электронной почты с теми же правами на использование, предоставленными прежнему адресу.

Обратите внимание, что адрес электронной почты группы меняется очень редко. Поэтому если вы назначите права на использование группе, а не отдельным пользователям, тогда об изменении адреса электронной почты пользователя можно не беспокоиться. В этом случае права на использование назначаются адресу электронной почты группы, а не адресам отдельных пользователей. Это наиболее вероятный (и рекомендуемый) сценарий для администратора, который настраивает права на использование, с помощью которых обеспечивается защита документов и сообщений электронной почты. Тем не менее пользователи обычно назначают пользовательские разрешения отдельным пользователям. Так как не всегда известно, кому предоставляются права на доступ (группе или учетной записи пользователя), безопаснее всегда добавлять прежний адрес электронной почты в качестве дополнительного.

Кэширование членства в группах в Azure Information Protection

Для повышения производительности служба Azure Information Protection кэширует членство в группе. Это означает, что для вступления в силу любых изменений членства в группе в Azure AD может потребоваться до трех часов, когда эти группы используются Azure Information Protection, и этот период времени может меняться.

Учтите это время при внесении изменений или выполнении тестирования, когда вы используете группы для предоставления прав на использование или настройки службы Azure Rights Management, а также при настройке политик с областью действия.

Дальнейшие действия

Когда вы убедитесь, что пользователи и группы могут использоваться в Azure Information Protection, и будете готовы включить защиту документов и сообщений электронной почты, проверьте, нужно ли активировать службу Azure Rights Management. Это обязательно нужно сделать, если вы хотите защитить документы и сообщения электронной почты своей организации.

  • Если подписка, которая включает Azure Rights Management или Azure Information Protection, была получена не раньше февраля 2018 г., служба будет активирована автоматически.

  • Если подписка была получена раньше, активируйте службу самостоятельно.

Дополнительные сведения, включая проверку состояния активации, см. в разделе Активация службы защиты из Azure Information Protection.