Konfigurera säkert dokumentsamarbete med hjälp av Azure Information Protection
När du använder Azure Information Protection kan du skydda dina dokument utan att offra samarbete för behöriga användare. De flesta dokument som en användare skapar och sedan delar med andra för att visa och redigera kommer att Office dokument från Word, Excel och PowerPoint. Dessa dokument stöder internt skydd, vilket innebär att förutom skyddsfunktionerna för auktorisering och kryptering har de även stöd för begränsad behörighet för mer detaljerad kontroll.
Dessa behörigheter kallas användningsrättigheter och omfattar behörigheter som att visa, redigera, skriva ut. Du kan definiera enskilda användningsrättigheter när ett dokument skyddas, eller så kan du definiera en gruppering av användningsrättigheter som kallas behörighetsnivåer. Behörighetsnivåer gör det enklare att välja användningsrättigheter som vanligtvis används tillsammans, till exempel granskare och medförfattare. Mer information om användningsrättigheter och behörighetsnivåer finns i Konfigurera användningsrättigheter för Azure Information Protection.
När du konfigurerar dessa behörigheter kan du ange vilka användare de är till för:
För användare i din egen organisation eller någon annan organisation som använder Azure Active Directory: Du kan ange Azure AD användarkonton, Azure AD grupper eller alla användare i organisationen.
För användare som inte har ett Azure Active Directory konto: Ange en e-postadress som ska användas med ett Microsoft-konto. Det här kontot kan redan finnas eller så kan användarna skapa det när de öppnar det skyddade dokumentet.
Om du vill öppna dokument med ett Microsoft-konto måste användarna använda Microsoft 365 appar (Klicka-och-kör). Andra Office utgåvor och versioner har ännu inte stöd för att öppna Office skyddade dokument med ett Microsoft-konto.
För alla autentiserade användare: Det här alternativet är lämpligt när du inte behöver styra vem som har åtkomst till det skyddade dokumentet, förutsatt att användaren kan autentiseras. Autentiseringen kan ske genom Azure AD, med hjälp av ett Microsoft-konto, eller till och med en federerad social provider eller engångslösenord när innehållet skyddas av de nya funktionerna i Office 365 meddelandekryptering.
Som administratör kan du konfigurera en Azure Information Protection-etikett för att tillämpa behörigheterna och behöriga användare. Den här konfigurationen gör det mycket enkelt för användare och andra administratörer att tillämpa rätt skyddsinställningar, eftersom de helt enkelt använder etiketten utan att behöva ange någon information. Följande avsnitt innehåller ett exempel på en genomgång för att skydda ett dokument som stöder säkert samarbete med interna och externa användare.
Exempelkonfiguration för en etikett för att tillämpa skydd för att stödja internt och externt samarbete
Det här exemplet går igenom hur du konfigurerar en befintlig etikett för att tillämpa skydd så att användare från din organisation kan samarbeta med dokument med alla användare från en annan organisation som har Microsoft 365 eller Azure AD, en grupp från en annan organisation som har Microsoft 365 eller Azure AD och en användare som inte har något konto i Azure AD och använder i stället sin Gmail-e-postadress.
Eftersom scenariot begränsar åtkomsten till specifika personer innehåller det inte inställningen för autentiserade användare. Ett exempel på hur du kan konfigurera en etikett med den här inställningen finns i Exempel 5: Etikett som krypterar innehåll men inte begränsar vem som kan komma åt den.
Välj din etikett som redan finns i den globala principen eller en principomfattning. I fönstret Skydd kontrollerar du att Azure (molnnyckel) är valt.
Kontrollera att Ange behörigheter har valts och välj Lägg till behörigheter.
I fönstret Lägg till behörigheter :
För din interna grupp: Välj Bläddra i katalogen för att välja gruppen, som måste vara e-postaktiverad.
För alla användare i den första externa organisationen: Välj Ange information och ange namnet på en domän i organisationens klientorganisation. Till exempel fabrikam.com.
För gruppen i den andra externa organisationen: Skriv e-postadressen för gruppen i organisationens klientorganisation på fliken Ange information . Till exempel sales@contoso.com.
För den användare som inte har ett Azure AD konto: Skriv användarens e-postadress på fliken Ange information. Till exempel bengi.turan@gmail.com.
Om du vill bevilja samma behörigheter till alla dessa användare: För Välj behörigheter från förinställning väljer du Medägare, Medförfattare, Granskare eller Anpassad för att välja de behörigheter som du vill bevilja.
Dina konfigurerade behörigheter kan till exempel se ut ungefär så här:
Klicka på OK i fönstret Lägg till behörigheter .
Klicka på OK i fönstret Skydd.
I fönstret Etikett väljer du Spara.
Använda etiketten som stöder säkert samarbete
Nu när den här etiketten har konfigurerats kan den tillämpas på dokument på ett antal olika sätt som omfattar följande:
| Olika sätt att använda etiketten | Mer information |
|---|---|
| En användare väljer etiketten manuellt när dokumentet skapas i deras Office program. | Användare väljer etiketten från knappen Skydda i menyfliksområdet Office eller från Azure Information Protection-fältet. |
| Användarna uppmanas att välja en etikett när ett nytt dokument sparas. | Du har konfigurerat principinställningen Azure Information Protection med namnet Alla dokument och e-postmeddelanden måste ha en etikett. |
| En användare delar dokumentet via e-post och väljer etiketten manuellt i Outlook. | Användare väljer etiketten från knappen Skydda i menyfliksområdet Office eller från Azure Information Protection-fältet, och det bifogade dokumentet skyddas automatiskt med samma inställningar. |
| En administratör tillämpar etiketten på dokumentet med hjälp av PowerShell. | Använd cmdleten Set-AIPFileLabel för att tillämpa etiketten på ett visst dokument eller alla dokument i en mapp. |
| Du har dessutom konfigurerat etiketten för att tillämpa automatisk klassificering som nu kan tillämpas med hjälp av Azure Information Protection-skannern eller PowerShell. | Se Konfigurera villkor för automatisk och rekommenderad klassificering för Azure Information Protection. |
För att slutföra den här genomgången använder du etiketten manuellt när du skapar dokumentet i ditt Office-program:
Om du redan har Office program öppet på en klientdator stänger du det först och öppnar det igen för att hämta de senaste principändringarna som innehåller den nyligen konfigurerade etiketten.
Använd etiketten i ett dokument och spara den.
Dela det skyddade dokumentet genom att koppla det till ett e-postmeddelande och skicka det till de personer som du har behörighet att redigera dokumentet.
Öppna och redigera det skyddade dokumentet
När användare som du har auktoriserat öppnar dokumentet för redigering öppnas dokumentet med en informationsbanderoll som informerar dem om att behörigheterna är begränsade. Exempel:
Om de väljer knappen Visa behörighet ser de de behörigheter som de har. I följande exempel kan användaren visa och redigera dokumentet:
Obs! Om dokumentet öppnas av externa användare som också använder Azure Information Protection visar inte Office-programmet klassificeringsetiketten för dokumentet, även om eventuella visuella markeringar från etiketten finns kvar. Externa användare kan i stället använda sin egen etikett i enlighet med organisationens klassificeringstaxonomi. Om dessa externa användare sedan skickar tillbaka det redigerade dokumentet till dig Office visar din ursprungliga klassificeringsetikett när du öppnar dokumentet igen.
Innan det skyddade dokumentet öppnas sker något av följande autentiseringsflöden:
För användare som har ett Azure AD konto använder de sina Azure AD autentiseringsuppgifter som ska autentiseras av Azure AD så öppnas dokumentet.
För den användare som inte har ett Azure AD konto, om de inte är inloggade på Office med ett konto som har behörighet att öppna dokumentet, visas sidan Konton.
På sidan Konton väljer du Lägg till konto:
På sidan Logga in väljer du Skapa ett! och följer anvisningarna för att skapa ett nytt Microsoft-konto med den e-postadress som användes för att bevilja behörigheterna:
När det nya Microsoft-kontot skapas växlar det lokala kontot till det nya Microsoft-kontot och användaren kan sedan öppna dokumentet.
Scenarier som stöds för att öppna skyddade dokument
I följande tabell sammanfattas de olika autentiseringsmetoder som stöds för visning och redigering av skyddade dokument.
Dessutom stöder följande scenarier visning av dokument:
Azure Information Protection viewer för Windows och för iOS och Android kan öppna filer med hjälp av ett Microsoft-konto.
En webbläsare kan öppna skyddade bifogade filer när sociala leverantörer och engångslösenord används för autentisering med Exchange Online och de nya funktionerna från Office 365 Meddelandekryptering.
| Plattformar för att visa och redigera dokument: Word, Excel, PowerPoint |
Autentiseringsmetod: Azure AD |
Autentiseringsmetod: Microsoft-konto |
|---|---|---|
| Windows | Ja [1] | Ja (Microsoft 365 appar och Microsoft Office 2019) |
| iOS | Ja [1] | Ja (version 2.42 och senare) |
| Android | Ja [1] | Ja (version 16.0.13029 och senare) |
| MacOS | Ja [1] | Ja (Microsoft 365 appar, version 16.42 och senare) |
Fotnot 1
Stöder användarkonton, e-postaktiverade grupper och alla medlemmar. Användarkonton och e-postaktiverade grupper kan innehålla gästkonton. Alla medlemmar utesluter gästkonton.
Nästa steg
Se andra exempelkonfigurationer för etiketter för att tillämpa skydd för vanliga scenarier. Den här artikeln innehåller också mer information om skyddsinställningarna.
Mer information om andra alternativ och inställningar som du kan konfigurera för din etikett finns i Konfigurera Azure Information Protection princip.
Etiketten som konfigurerades i den här artikeln skapar också en skyddsmall med samma namn. Om du har program och tjänster som integreras med skyddsmallar från Azure Information Protection kan de använda den här mallen. Till exempel DLP-lösningar och e-postflödesregler. Outlook på webben visar automatiskt skyddsmallar från den globala Azure-Information Protection-principen.