Защита файлов SharePoint Online с помощью Azure Information ProtectionProtect SharePoint Online files with Azure Information Protection

Сводка. Защита файлов на строго конфиденциальном сайте группы SharePoint Online с помощью службы Azure Information Protection.Summary: Apply Azure Information Protection to protect files in a highly confidential SharePoint Online team site.

В этой статье показано, как настроить Azure Information Protection, чтобы обеспечить шифрование и применение разрешений для файлов. Эти файлы можно добавлять в библиотеку SharePoint, настроенную на строго конфиденциальный уровень защиты. Или можно открыть файл непосредственно на сайте и использовать клиент Azure Information Protection, чтобы добавить шифрование. Даже при скачивании с сайта файл будет по-прежнему защищен благодаря шифрованию и указанным разрешениям.Use the steps in this article to configure Azure Information Protection to provide encryption and permissions for files. These files can be added to a SharePoint library configured for highly confidential protection. Or, you can open a file directly from the site and use the Azure Information Protection client to add encryption. The encryption and permissions protection travels with a file even when it is downloaded from the site.

Эти действия являются частью более крупного решения по настройке строго конфиденциальной защиты для сайтов SharePoint и файлов на этих сайтах. Дополнительные сведения см. в статье Безопасность сайтов и файлов SharePoint Online.These steps are part of a larger solution for configuring highly confidential protection for SharePoint sites and the files within these sites. For more information, see Secure SharePoint Online sites and files.

Использование Azure Information Protection для файлов в SharePoint Online не рекомендуется для всех клиентов, но допустимо для клиентов, которым требуется этот уровень защиты для подмножества файлов.Using Azure Information Protection for files in SharePoint Online is not recommended for all customers, but is an option for customers who need this level of protection for a subset of files.

Некоторые важные замечания об этом решении:Some important notes about this solution:

  • Когда шифрование Azure Information Protection применяется к файлам в Office 365, служба не может обрабатывать содержимое этих файлов. Совместное редактирование, обнаружение электронных данных, поиск, Delve и другие функции совместной работы неактивны. Политики защиты от потери данных могут работать только с метаданными (включая метки Office 365), но не с содержимым этих файлов (например, номерами кредитных карт в файлах).When Azure Information Protection encryption is applied to files stored in Office 365, the service cannot process the contents of these files. Co-authoring, eDiscovery, search, Delve, and other collaborative features do not work. Data Loss Prevention (DLP) policies can only work with the metadata (including Office 365 labels) but not the contents of these files (such as credit card numbers within files).
  • Для этого решения требуется, чтобы пользователь выбрал метку, которая применяет защиту от Azure Information Protection. Если вам требуется автоматическое шифрование, а также возможность индексировать и проверять файлы в SharePoint, рекомендуется использовать управление правами на доступ к данным (IRM) в SharePoint Online. При настройке библиотеки SharePoint для IRM, файлы автоматически шифруются, если они скачиваются для редактирования. Управление правами на доступ к данным SharePoint включает в себя ограничения, которые могут повлиять на ваше решение. Дополнительные сведения см. в статье Настройка управления правами на доступ к данным (IRM) в центре администрирования SharePoint.This solution requires a user to select a label that applies the protection from Azure Information Protection. If you require automatic encryption and the ability for SharePoint to index and inspect the files, consider using Information Rights Management (IRM) in SharePoint Online. When you configure a SharePoint library for IRM, files are automatically encrypted when they are downloaded for editing. SharePoint IRM includes limitations that might influence your decision. For more information, see Set up Information Rights Management (IRM) in SharePoint admin center.

Настройка администратораAdmin setup

Сперва выполните для настройки подписки на Office 365 действия, описанные в статье Как активировать Azure RMS в Центре администрирования Office 365.First, use the instructions in Activate Azure RMS with the Office 365 admin center for your Office 365 subscription.

Теперь настройте Azure Information Protection, добавив новую политику области и подчиненную метку для разрешений на доступ к строго конфиденциальному сайту группы SharePoint Online и его защиты.Next, configure Azure Information Protection with a new scoped policy and sub-label for protection and permissions of your highly confidential SharePoint Online team site.

  1. Войдите на портал Office 365, используя учетную запись с ролью администратора компании или администратора безопасности. Справочные сведения см. в статье Вход в Office 365.Sign in to the Office 365 portal with an account that has the Security Administrator or Company Administrator role. For help, see Where to sign in to Office 365.

  2. Перейдите на портал Azure (https://portal.azure.com), открыв отдельную вкладку браузера.In a separate tab of your browser, go to the Azure portal (https://portal.azure.com).

  3. Если вы настраиваете Azure Information Protection впервые, ознакомьтесь с этими инструкциями.If this is the first time you are configuring Azure Information Protection, see these instructions.

  4. На панели списка выберите Все службы, введите information, а затем выберите Azure Information Protection.In the list pane, click All services, type information, and then click Azure Information Protection.

  5. В колонке Azure Information Protection, щелкните последовательно элементы Политики в области > + Добавить политику.On the Azure Information protection blade, , click Scoped policies > + Add a new policy.

  6. Введите имя новой политики в поле Имя политики и описание в поле Описание.Type a name for the new policy in Policy name and a description in Description.

  7. Щелкните элементы Выберите, к каким пользователям или группам будет применяться эта политика > Группы и пользователи, а затем выберите группу доступа для участников строго конфиденциального сайта группы SharePoint Online.Click Select which users or groups get this policy > User/Groups, and then select the site members access group for your highly sensitive SharePoint Online team site.

  8. Щелкните элементы Выбрать > ОК.Click Select > OK.

  9. Для метки Строго конфиденциально щелкните последовательно многоточие (…) и элемент Добавить подчин. метку.For the Highly Confidential label, click the ellipses (…), and then click Add a sub-label.

  10. Введите имя подчиненной метки в поле Имя и описание метки в поле Описание.Type a name for the sub-label in Name and a description of the label in Description.

  11. В разделе Задайте разрешения для документов и электронных писем, имеющих эту метку нажмите кнопку Защитить.In Set permissions for documents and emails containing this label, click Protect.

  12. В разделе Защита выберите элемент Azure (облачный ключ).In the Protection section, click Azure (cloud key).

  13. В колонке Защита в разделе Параметры защиты нажмите кнопку + Добавить разрешения.On the Protection blade, under Protection settings, click + Add permissions.

  14. Перейдите к колонке Добавление разрешений и выберите + Обзор каталога в разделе Укажите пользователей и группы.On the Add permissions blade, under Specify users and groups, click + Browse directory.

  15. В области Пользователи и группы AAD выберите группу доступа для членов строго конфиденциального сайта группы SharePoint Online, а затем нажмите Выбрать.On the AAD Users and Groups pane, select the site members access group for your highly sensitive SharePoint Online team site, and then click Select.

  16. В разделе Выбор разрешений из шаблона снимите флажки Печать, Копирование и извлечение контента и Переадресация.Under Choose permissions from the preset, clear the Print, Copy and extract content, and Forward check boxes.

  17. Дважды нажмите кнопку ОК.Click OK twice.

  18. В колонке Подчиненная метка нажмите кнопку Сохранить.On the Sub-label blade, click Save.

  19. Закройте колонку новой политики области.Close the new scoped policy blade.

  20. В колонке Azure Information Protection – политики в области нажмите кнопку Опубликовать.On the Azure Information protection - Scoped policies blade, click Publish.

Настройка клиентаClient setup

Теперь вы можете создавать документы и защищать их с помощью службы Azure Information Protection и новой метки.You are now ready to begin creating documents and protecting them with Azure Information Protection and your new label.

Необходимо установить клиент Azure Information Protection на мобильном устройстве или компьютере под управлением Windows. Вы можете воспользоваться скриптом и автоматизировать установку. Кроме того, пользователи могут установить клиент вручную. Просмотрите указанные ниже ресурсы.You must install the Azure Information Protection client on your device or Windows-based computer. You can script and automate the installation, or users can install the client manually. See the following resources:

После установки пользователи выполняют запуск и вход из приложения Office (например, Microsoft Word) с указанием своей учетной записи Office 365. С помощью новой панели Information Protection пользователи могут выбрать новую метку. Убедитесь, что они знают, какую метку использовать для сайта группы SharePoint Online, чтобы защитить свои строго конфиденциальные файлы.Once installed, your users run and then sign-in from an Office application (such as Microsoft Word) with their Office 365 account. A new Information Protection bar allows users to select the new label. Make sure that your users know the SharePoint Online team site and which label to use, to protect their highly confidential files.

Примечание

Если у вас несколько строго конфиденциальных сайтов группы SharePoint Online, необходимо создать несколько политик области Azure Information Protection с подчиненными метками, используя указанные выше параметры. При этом нужно настроить разрешения для каждой подчиненной метки, заданные группе доступа для участников определенного сайта группы SharePoint Online.If you have multiple highly sensitive SharePoint Online team sites, you should create multiple Azure Information Protection scoped policies with sub-labels with the above settings, with the permissions for each sub-label set to the site members access group of a specific SharePoint Online team site.

Добавление разрешений для внешних пользователейAdding permissions for external users

Предоставить внешним пользователям доступ к файлам, защищенным с помощью Azure Information Protection, можно двумя способами. В обоих случаях внешним пользователям необходима учетная запись Azure AD. Если внешние пользователи не состоят в организации, использующей Azure AD, они могут получить личную учетную запись Azure AD на странице регистрации: https://aka.ms/aip-signup.There are two ways you can grant external users access to files protected with Azure Information Protection. In both these cases, external users must have an Azure AD account. If external users aren't members of an organization that uses Azure AD, they can obtain an Azure AD account as an individual by using this sign-up page: https://aka.ms/aip-signup.

  • Добавление внешних пользователей в группу Azure AD, используемую для настройки защиты метки. Для начала потребуется добавить в каталог учетную запись B2B-пользователя. Может потребоваться несколько часов, чтобы служба управления правами Azure кэшировала данные о членстве в группах.Add external users to an Azure AD group that is used to configure protection for a label. You’ll need to first add the account as a B2B user in your directory. It can take a couple of hours for group membership caching by Azure Rights Management. With this method, permissions are granted to all existing files protected with the label (even files protected before a user is added to the Azure AD group).
  • Непосредственное добавление внешних пользователей в защиту метки. Вы можете добавить всех пользователей из организации (например, Fabrikam.com), группу Azure AD (например, финансовый отдел в организации) или пользователя. Например, вы можете добавить внешнюю команду контролеров для защиты метки.Add external users directly to the label protection. You can add all users from an organization (e.g. Fabrikam.com), an Azure AD group (such as a finance group within an organization), or an individual user. For example, you can add an external team of regulators to the protection for a label. With this method, permissions are granted only to files protected with the label after the external entity is added to the protection.

См. такжеSee Also

Безопасность сайтов и файлов SharePoint OnlineSecure SharePoint Online sites and files

Защита сайтов SharePoint Online в среде разработки и тестированияSecure SharePoint Online sites in a dev/test environment

Руководство по безопасности (Майкрософт) для политических кампаний, некоммерческих и других динамических организацийMicrosoft Security Guidance for Political Campaigns, Nonprofits, and Other Agile Organizations

Освоение облака и гибридные решенияCloud adoption and hybrid solutions