Azure Information Protection’da veri koruması hakkında sık sorulan sorularFrequently asked questions about data protection in Azure Information Protection

Uygulama hedefi: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Azure Information Protection’ın veri koruma hizmeti Azure Rights Management hakkında sorunuz mu var?Have a question about the data protection service, Azure Rights Management, from Azure Information Protection? Burada cevaplanıp cevaplanmadığına bakın.See if it's answered here.

Dosyaların Azure Rights Management tarafından korunması için bulutta olması gerekir mi?Do files have to be in the cloud to be protected by Azure Rights Management?

Hayır, bu yaygın bir yanılgıdır.No, this is a common misconception. Azure Rights Management hizmeti (ve Microsoft) verilerinizi bilgi koruma sürecinin parçası olarak görmez ve depolamaz.The Azure Rights Management service (and Microsoft) does not see or store your data as part of the information protection process. Koruduğunuz bilgiler siz açıkça Azure’da depolamadığınız veya bunları Azure’da depolayan başka bir bulut hizmeti kullanmadığınız sürece hiçbir zaman Azure'a gönderilmez ve Azure’da depolanmaz.Information that you protect is never sent to or stored in Azure unless you explicitly store it in Azure or use another cloud service that stores it in Azure.

Daha fazla bilgi için, Azure RMS nasıl çalışır? Görünmeyen ayrıntılar bölümüne bakarak şirket içinde oluşturulan ve depolanan gizli bir formülün Azure Rights Management hizmeti tarafından nasıl korunup yine de şirket içinde kaldığını anlayabilirsiniz.For more information, see How does Azure RMS work? Under the hood to understand how a secret cola formula that is created and stored on-premises is protected by the Azure Rights Management service but remains on-premises.

Azure Rights Management şifrelemesi ile diğer Microsoft bulut hizmetlerinde şifreleme arasındaki fark nedir?What’s the difference between Azure Rights Management encryption and encryption in other Microsoft cloud services?

Microsoft, verilerinizi farklı ve genellikle tamamlayıcı senaryolar için korumanıza olanak tanıyan birden fazla şifreleme teknolojisi sağlar.Microsoft provides multiple encryption technologies that enable you to protect your data for different, and often complementary scenarios. Örneğin, Office 365, Office 365 içinde depolanan durağan veriler için şifreleme sunarken, Azure Information Protection’dan Azure Rights Management hizmeti verilerinizi bağımsız olarak şifreler ve böylece veriler, bulundukları yere veya iletilme şekillerine bağlı olmaksızın korunur.For example, while Office 365 offers encryption at-rest for data stored in Office 365, the Azure Rights Management service from Azure Information Protection independently encrypts your data so that it is protected regardless of where it is located or how it is transmitted.

Bu şifreleme teknolojiler tamamlayıcıdır ve bunları kullanmak için şifrelemek ayrı ayrı etkinleştirmek ve yapılandırmak gerekir.These encryption technologies are complementary and using them requires enabling and configuring them independently. Bunu yaptığınızda, şifreleme için "BYOK" senaryosu adı verilen kendi anahtarınızı getirme seçeneğine sahip olursunuz.When you do so, you might have the option to bring your own key for the encryption, a scenario also known as "BYOK." Bu teknolojilerden biri için BYOK’u etkinleştirmek diğerlerini etkilemez.Enabling BYOK for one of these technologies does not affect the others. Örneğin, BYOK’u Azure Information Protection için kullanabilir ve diğer şifreleme teknolojileri için kullanmayabilirsiniz ve bunun tersi de geçerlidir.For example, you can use BYOK for Azure Information Protection and not use BYOK for other encryption technologies, and vice versa. Bu farklı teknolojiler tarafından kullanılan anahtarlar, her bir hizmet için şifreleme seçeneklerini nasıl yapılandırdığınıza bağlı olarak aynı veya farklı olabilir.The keys used by these different technologies might be the same or different, depending on how you configure the encryption options for each service.

KAG ile HYOK arasındaki fark nedir ve bunları ne zaman kullanmalıyım?What’s the difference between BYOK and HYOK and when should I use them?

Azure Information Protection bağlamında Kendi anahtarını getir (KAG), Azure Rights Management koruması için kendi şirket içi anahtarınızı oluşturmanızı ifade eder.Bring your own key (BYOK) in the context of Azure Information Protection, is when you create your own key on-premises for Azure Rights Management protection. Bu anahtarı daha sonra Azure Key Vault’da bir donanım güvenlik modülüne (HSM) aktarır ve burada anahtarınızı sahiplenip yönetmeye devam edebilirsiniz.You then transfer that key to a hardware security module (HSM) in Azure Key Vault where you continue to own and manage your key. Bunu yapmadıysanız, Azure Rights Management koruması sizin için Azure’da otomatik olarak oluşturulan ve yönetilen bir anahtar kullanır.If you didn't do this, Azure Rights Management protection would use a key that is automatically created and managed for you in Azure. Bu varsayılan yapılandırma, “müşteri tarafından yönetilen” (KAG seçeneği) değil “Microsoft tarafından yönetilen” olarak adlandırılır.This default configuration is referred to as "Microsoft-managed" rather than "customer-managed" (the BYOK option).

KAG hakkında daha fazla bilgi edinmek ve kuruluşunuz için bu anahtar topolojisini seçmeniz gerekip gerekmediğini öğrenmek için bkz. Azure Information Protection kiracı anahtarınızı planlama ve uygulama.For more information about BYOK and whether you should choose this key topology for your organization, see Planning and implementing your Azure Information Protection tenant key.

Azure Information Protection bağlamında Kendi anahtarını taşı (HYOK), bulutta depolanan bir anahtar ile korunamayan belge ve e-posta alt kümesine sahip az sayıdaki kuruluş içindir.Hold your own key (HYOK) in the context of Azure Information Protection, is for a few organizations that have a subset of documents or emails that cannot be protected by a key that is stored in the cloud. Söz konusu kuruluşlar için bu kısıtlama, anahtar KAG ile oluşturulup yönetildiğinde de geçerlidir.For these organizations, this restriction applies even if they created the key and manage it, using BYOK. Kısıtlama genellikle yönetmelik veya uyumluluk nedenlerinden kaynaklanır ve HYOK yapılandırmasının asla kuruluş dışında paylaşılmayacak, yalnızca iç ağ üzerinde kullanılacak olan ve mobil cihazlardan erişilmesi gerekmeyen “Çok Gizli” bilgilere uygulanması gerekir.The restriction can often be because of regulatory or compliance reasons and the HYOK configuration should be applied to "Top Secret" information only, that will never be shared outside the organization, will only be consumed on the internal network, and does not need to be accessed from mobile devices.

Bu özel durumlar için (genellikle korunması gereken içeriğin %10’undan azını kapsar) kuruluşlar, şirket içinde kalan anahtarı oluşturmaya yönelik bir şirket içi çözüm olan Active Directory Rights Management Services’ı kullanabilir.For these exceptions (typically less than 10% of all the content that needs to be protected), organizations can use an on-premises solution, Active Directory Rights Management Services, to create the key that remains on-premises. Bu çözüm sayesinde bilgisayarlar, Azure Information Protection ilkesini buluttan alır ancak bu tanımlı içerik, şirket içi anahtar kullanılarak korunabilir.With this solution, computers get their Azure Information Protection policy from the cloud, but this identified content can be protected by using the on-premises key.

HYOK hakkında daha fazla bilgi edinmek, sınırlama ve kısıtlamalarını anladığınızdan emin olmak ve ne zaman kullanılacağı konusunda yönergeler almak için bkz. AD RMS koruması için kendi anahtarını taşı (HYOK) gereksinimleri ve kısıtlamaları.For more information about HYOK and to make sure that you understand its limitations and restrictions, and guidance when to use it, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection.

Şimdi BYOK Exchange Online ile kullanabilir miyim?Can I now use BYOK with Exchange Online?

İçindeki yönergeleri izleyin, Evet, şimdi BYOK ile Exchange Online kullanabilirsiniz Azure Information Protection üzerine kurulu yeni Office 365 ileti şifreleme özellikleri ayarlama.Yes, you can now use BYOK with Exchange Online when you follow the instructions in Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection. Bu yönergeler, Exchange Online'da Azure Information Protection, hem de için yeni bir Office 365 ileti şifreleme KAG ile destekleyen yeni özellikleri etkinleştirin.These instructions enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection, as well as the new Office 365 Message Encryption.

Bu değişiklik hakkında daha fazla bilgi için blog duyurusuna bakın: Yeni özellikleri içeren Office 365 ileti şifrelemeFor more information about this change, see the blog announcement: Office 365 Message Encryption with the new capabilities

Azure RMS ile tümleştirilebilen üçüncü taraf çözümler hakkında nereden bilgi edinebilirim?Where can I find information about third-party solutions that integrate with Azure RMS?

Birçok yazılım satıcısı zaten Azure Rights Management ile tümleştirilen çözümler sunuyor ya da uyguluyor ve bu liste hızla büyüyor.Many software vendors already have solutions or are implementing solutions that integrate with Azure Rights Management—and the list is growing rapidly. Yararlı bulabilirsiniz RMS kullanan çözümler listelemek ve ilgili son güncelleştirmeleri almak Microsoft Mobility@MSFTMobility Twitter'da.You might find it useful to check the RMS-englightened solutions list and get the latest updates from Microsoft Mobility@MSFTMobility on Twitter. Ayrıca Geliştirici Kılavuzu ve Azure Information Protection'ı herhangi belirli tümleştirme sorularınızı Yammer sitesi.Also check the developer's guide and post any specific integration questions on the Azure Information Protection Yammer site.

RMS bağlayıcısı için bir yönetim paketi veya benzer bir izleme mekanizması var mı?Is there a management pack or similar monitoring mechanism for the RMS connector?

Rights Management bağlayıcısı bilgi, uyarı ve hata iletilerini olay günlüğüne kaydetse de bu olayların izlenmesine yönelik bir yönetim paketi yoktur.Although the Rights Management connector logs information, warning, and error messages to the event log, there isn’t a management pack that includes monitoring for these events. Ancak, olayların listesi ve açıklamalarının yanı sıra bunların düzeltilmesi için gerekli eylemleri gerçekleştirmenize yardımcı olacak diğer bilgiler Azure Rights Management bağlayıcısını izleme konusundaki belgelerde açıklanmıştır.However, the list of events and their descriptions, with more information to help you take corrective action is documented in Monitor the Azure Rights Management connector.

Azure RMS’yi yapılandırmak için genel yönetici olunması mı gerekiyor yoksa diğer yöneticileri temsilci olarak atayabilir miyim?Do you need to be a global admin to configure Azure RMS, or can I delegate to other administrators?

Yeni kullanıma sunulan bilgi Koruma Yöneticisi rolüyle Bu soru (ve yanıt) artık ana SSS sayfaya taşındı: Azure Information Protection'ı yapılandırmak için genel yönetici olması gerekir, yoksa diğer yöneticileri temsilci seçebilirsiniz?With the newly introduced Information Protection Administrator role, this question (and answer) has now moved to the main FAQ page: Do you need to be a global admin to configure Azure Information Protection, or can I delegate to other administrators?

Azure portalda yeni bir özel şablonu nasıl oluşturabilirim?How do I create a new custom template in the Azure portal?

Özel şablonlar, burada bunları şablon olarak yönetmeye veya etikete dönüştürebilirsiniz devam edebilirsiniz, Azure portalında taşıdık.Custom templates have moved to the Azure portal where you can continue to manage them as templates, or convert them to labels. Yeni şablon oluşturmak için, yeni bir etiket oluşturun ve Azure RMS’nin veri koruma ayarlarını yapılandırın.To create a new template, create a new label and configure the data protection settings for Azure RMS. Bu işlem arka planda yeni bir şablon oluşturur ve bu şablona, Rights Management şablonlarıyla tümleştirilmiş olan hizmetler ve uygulamalar erişebilir.Under the covers, this creates a new template that can then be accessed by services and applications that integrate with Rights Management templates.

Azure portalında şablonları hakkında daha fazla bilgi için bkz. yapılandırma ve Azure Information Protection için şablonlarını yönetme.For more information about templates in the Azure portal, see Configuring and managing templates for Azure Information Protection.

Bir belge koruma uyguladım ve kullanım haklarını değiştirin veya kullanıcı eklemek artık istediğiniz — belgeyi yeniden koruma gerekiyor mu?I've protected a document and now want to change the usage rights or add users—do I need to reprotect the document?

Belge bir etiketi veya şablonu kullanarak korunan belgeyi yeniden koruma gerek yoktur.If the document was protected by using a label or template, there's no need to reprotect the document. Etiketi veya şablonu için kullanım haklarını yaptığınız değişiklikleri yaparak değiştirin veya yeni gruplar (veya kullanıcılar) ekleyin ve sonra bu değişiklikleri kaydedebilirsiniz:Modify the label or template by making your changes to the usage rights or add new groups (or users), and then save these changes:

  • Bir değişiklik yapmadan önce bir kullanıcının belgeyi henüz erişildiğinde, kullanıcının belgeyi açar açmaz değişiklikler geçerli olacaktır.When a user hasn't accessed the document before you made the changes, the changes take effect as soon as the user opens the document.

  • Bir kullanıcı belgeyi zaten eriştiğini, bu değişikliklerin geçerlilik kazanması olduğunda kendi kullanım lisansı süresi dolar.When a user has already accessed the document, these changes take effect when their use license expires. Kullanım lisansı süresi dolacak şekilde bekleyemiyorsanız, belgeyi yeniden koruyun.Reprotect the document only if you cannot wait for the use license to expire. Etkili bir şekilde yeniden korunuyor, belge ve bu nedenle kullanıcı için yeni bir kullanım lisansı yeni bir sürümünü oluşturur.Reprotecting effectively creates a new version of the document, and therefore a new use license for the user.

Alternatif olarak, bir grup için gerekli izinlere zaten yapılandırdıysanız, dahil edin veya dışlayın kullanıcıları grup üyeliğini değiştirebilirsiniz ve etiketi veya şablonu değiştirmek için gerek yoktur.Alternatively, if you have already configured a group for the required permissions, you can change the group membership to include or exclude users and there is no need to change the label or template. Grup üyeliği olduğundan değişiklikler etkili olmadan önce kısa bir gecikme olabilir önbelleğe alınmış Azure Rights Management hizmeti tarafından.There might be a small delay before the changes take effect because group membership is cached by the Azure Rights Management service.

Belgenin özel izinler kullanılarak korunuyorsa, var olan bir belgeyi için izinleri değiştiremezsiniz.If the document was protected by using custom permissions, you cannot change the permissions for the existing document. Belgeyi tekrar korumak ve tüm kullanıcılar ve belge bu yeni sürümü için gerekli olan tüm kullanım haklarına belirtmeniz gerekir.You must protect the document again and specify all the users and all the usage rights that are required for this new version of the document. Korumalı bir belgeyi yeniden koruma için tam denetim kullanım hakkına olmalıdır.To reprotect a protected document, you must have the Full Control usage right.

İpucu: Bir belge bir şablon veya özel izin kullanarak korunan olup olmadığını denetlemek için kullanmak Get-Aıpfilestatus PowerShell cmdlet'i.Tip: To check whether a document was protected by a template or by using custom permission, use the Get-AIPFileStatus PowerShell cmdlet. Her zaman bir şablon açıklamasını gördüğünüz kısıtlı erişim çalıştırırsınız görüntülenmeyen bir benzersiz şablon kimliği ile özel izinler Get-RMSTemplate.You always see a template description of Restricted Access for custom permissions, with a unique template ID that is not displayed when you run Get-RMSTemplate.

Bazı kullanıcıları Exchange Online’da ve bazıları Exchange Server’da bulunan karma bir Exchange dağıtımım var. Azure RMS bunu destekler mi?I have a hybrid deployment of Exchange with some users on Exchange Online and others on Exchange Server—is this supported by Azure RMS?

Kesinlikle ve güzel bir şey olduğundan, kullanıcıların sorunsuz olarak koruyabilmesi ve iki Exchange dağıtımı arasında korumalı e-postaları ve ekleri kullanmak mümkün.Absolutely, and the nice thing is, users are able to seamlessly protect and consume protected emails and attachments across the two Exchange deployments. Bu yapılandırma için Azure RMS'yi etkinleştirin ve Exchange Online için IRM'yi etkinleştirin, ardından RMS bağlayıcısını yapılandırmak ve dağıtmak Exchange sunucusu için.For this configuration, activate Azure RMS and enable IRM for Exchange Online, then deploy and configure the RMS connector for Exchange Server.

Bu korumayı üretim ortamım için kullanıyorsanız, Şirketim sonra çözüm ya da Azure RMS ile korunan içeriğe erişimi kaybetme riskiyle kilitli mi?If I use this protection for my production environment, is my company then locked into the solution or risk losing access to content that we protected with Azure RMS?

Hayır, size her zaman verilerinizi denetiminde kalır ve artık Azure Rights Management hizmetini kullanmamaya karar verseniz, erişmeye devam edebilirsiniz.No, you always remain in control of your data and can continue to access it, even if you decide to no longer use the Azure Rights Management service. Daha fazla bilgi için bkz. Azure Rights Management yetkisini alma ve devre dışı bırakma.For more information, see Decommissioning and deactivating Azure Rights Management.

Hangi kullanıcılarımın içerikleri korumak üzere Azure RMS kullanabileceğini belirleyebilir miyim?Can I control which of my users can use Azure RMS to protect content?

Evet, Azure Rights Management hizmetinin bu senaryo için kullanıcı ekleme denetimleri vardır.Yes, the Azure Rights Management service has user onboarding controls for this scenario. Daha fazla bilgi için, Azure Rights Management’ı etkinleştirme makalesinin Aşamalı dağıtım için ekleme denetimlerini yapılandırma bölümüne bakın.For more information, see the Configuring onboarding controls for a phased deployment section in the Activating Azure Rights Management article.

Kullanıcıların korumalı belgeleri belirli kuruluşlarla paylaşmasını engelleyebilir miyim?Can I prevent users from sharing protected documents with specific organizations?

Veri koruma, işletmeler arası işbirliği yerinize, Azure AD ilgilendiğinden, her iş ortağı kuruluş için açık güvenleri yapılandırmaya gerek kalmadan desteklediğini için Azure Rights Management hizmetini kullanmanın en büyük avantajlarından biri, kimlik doğrulaması.One of the biggest benefits of using the Azure Rights Management service for data protection is that it supports business-to-business collaboration without you having to configure explicit trusts for each partner organization, because Azure AD takes care of the authentication for you.

Kullanıcıların belgeleri belirli kuruluşlarla güvenli bir şekilde paylaşılmasını engellemek için herhangi bir yönetim seçeneği yoktur.There is no administration option to prevent users from securely sharing documents with specific organizations. Örneğin, güvenmediğiniz veya rekabet halinde olduğunuz bir kuruluşu engellemek istiyorsunuz.For example, you want to block an organization that you don’t trust or that has a competing business. Azure Rights Management hizmetinin korumalı belgeleri bu kuruluşlardaki kullanıcılara göndermesini engellemek anlamsız olur, çünkü bu durumda kullanıcılarınız korumalı olmayan belgelerini de paylaşamaz ve bu da muhtemelen bu senaryoda olmasını isteyeceğiniz son şeydir.Preventing the Azure Rights Management service from sending protected documents to users in these organizations wouldn’t make sense because your users would then share their documents unprotected, which is probably the last thing you want to happen in this scenario. Örneğin, kimlerin şirkete ait gizli belgeleri bu kuruluşlardaki hangi kullanıcılarla paylaştığını saptayamazdınız. Belge (veya e-posta) Azure Rights Management hizmeti tarafından korunuyorsa bunu yapabilirsiniz.For example, you wouldn’t be able to identify who is sharing company-confidential documents with which users in these organizations, which you can do when the document (or email) is protected by the Azure Rights Management service.

Korumalı bir belgeyi şirketimin dışındaki biriyle paylaştığımda, bu kullanıcının kimlik doğrulaması nasıl yapılır?When I share a protected document with somebody outside my company, how does that user get authenticated?

Varsayılan olarak, Azure Rights Management hizmeti, işletmeler arası işbirliğinin Yöneticiler için sorunsuz olmasını sağlar, kullanıcı kimlik doğrulaması için bir Azure Active Directory hesabını ve ilişkili e-posta adresi kullanır.By default, the Azure Rights Management service uses an Azure Active Directory account and an associated email address for user authentication, which makes business-to-business collaboration seamless for administrators. Diğer kuruluş Azure hizmetlerini kullanıyorsa, kullanıcıların, şirket için oluşturulup yönetiliyor ve Azure ile eşitleniyor olsa bile halen Azure Active Directory’de hesapları vardır.If the other organization uses Azure services, users already have accounts in Azure Active Directory, even if these accounts are created and managed on-premises and then synchronized to Azure. Kuruluşta Office 365 varsa, bu hizmet de kullanıcı hesapları için görünmeyen bir yerlerde Azure Active Directory kullanıyordur.If the organization has Office 365, under the covers, this service also uses Azure Active Directory for the user accounts. Kullanıcı kuruluşunun Azure’da yönetilen hesapları yoksa, kullanıcılar bireyler için RMS’ye kaydolabilir ve bu durumda kullanıcının (ve sonraki kullanıcıların) Azure Rights Management hizmeti kimlik doğrulamasının yapılabilmesi amacıyla kullanıcı için bir hesapla birlikte kuruluş için yönetimsiz bir Azure kiracısı ve dizini oluşturulur.If the user’s organization doesn’t have managed accounts in Azure, users can sign up for RMS for individuals, which creates an unmanaged Azure tenant and directory for the organization with an account for the user, so that this user (and subsequent users) can then be authenticated for the Azure Rights Management service.

Bu hesaplar için kimlik doğrulama yöntemi, diğer kuruluşta yöneticisinin Azure Active Directory hesaplarını nasıl yapılandırdığına bağlı olarak değişebilir.The authentication method for these accounts can vary, depending on how the administrator in the other organization has configured the Azure Active Directory accounts. Örneğin, bunlar bu hesapları, Federasyon veya Active Directory Etki Alanı Hizmetleri'nde oluşturulan ve ardından Azure Active Directory ile eşitlenmiş parolalar için parolalar kullanabilirsiniz.For example, they could use passwords that were created for these accounts, federation, or passwords that were created in Active Directory Domain Services and then synchronized to Azure Active Directory.

Diğer kimlik doğrulama yöntemleri:Other authentication methods:

  • Hesabınız, Azure AD'de sahip olmayan bir kullanıcı için bir Office belgesi eki içeren bir e-posta koruyorsanız, kimlik doğrulama yöntemini değiştirir.If you protect an email with an Office document attachment to a user who doesn't have an account in Azure AD, the authentication method changes. Azure Rights Management hizmetini Gmail gibi bazı popüler sosyal kimlik sağlayıcıları ile Federasyonu gerçekleştirildi.The Azure Rights Management service is federated with some popular social identity providers, such as Gmail. Kullanıcının e-posta sağlayıcısı destekleniyorsa, kullanıcı bu hizmet için oturum açın ve kimlik doğrulaması için kendi e-posta sağlayıcısı sorumludur.If the user's email provider is supported, the user can sign in to that service and their email provider is responsible for authenticating them. Kullanıcının e-posta sağlayıcısı desteklenmiyor veya bir tercih olarak, kullanıcı kimliklerini doğrulayan ve bir web tarayıcısında e-posta ile korumalı belgeyi görüntüleyen bir kerelik geçiş için uygulayabilirsiniz.If the user's email provider is not supported, or as a preference, the user can apply for a one-time passcode that authenticates them and displays the email with the protected document in a web browser.

  • Azure Information Protection, Microsoft hesapları için desteklenen uygulamaları kullanabilir.Azure Information Protection can use Microsoft accounts for supported applications. Şu anda, bir Microsoft hesabı kimlik doğrulaması için kullanıldığında, tüm uygulamalar korumalı içeriği açabildiklerini.Currently, not all applications can open protected content when a Microsoft account is used for authentication. Daha fazla bilgiMore information

Özel şablonlara dış kullanıcılar (şirketim dışındaki kullanıcılar) ekleyebilir miyim?Can I add external users (people from outside my company) to custom templates?

Evet.Yes. Koruma ayarlarını kullanıcılar ve gruplar dışında kuruluşunuzun ve başka bir kuruluştaki bile tüm kullanıcılar için izinleri eklemenizi sağlar, Azure portalında yapılandırabilirsiniz.The protection settings that you can configure in the Azure portal let you add permissions to users and groups from outside your organization, and even all users in another organization. Adım adım örnek başvurmak yararlı bulabilirsiniz güvenli belge işbirliği Azure Information Protection'ı kullanarak.You might find it useful to reference the step-by-step example, Secure document collaboration by using Azure Information Protection.

Azure Information Protection etiketleri varsa, Azure portalında Bu koruma ayarlarını yapılandırmadan önce özel bir şablon bir etiketin dönüştürmeniz gerekir olduğunu unutmayın.Note that if you have Azure Information Protection labels, you must first convert your custom template to a label before you can configure these protection settings in the Azure portal. Daha fazla bilgi için yapılandırma ve Azure Information Protection için şablonlarını yönetme.For more information, see Configuring and managing templates for Azure Information Protection.

Alternatif olarak, PowerShell kullanarak özel şablonları (ve etiketleri) dış kullanıcılar ekleyebilirsiniz.Alternatively, you can add external users to custom templates (and labels) by using PowerShell. Bu yapılandırmayı kullanarak şablonunuzu güncelleştirin kullanan bir hak tanımı nesnesi kullanmanızı gerektirir:This configuration requires you to use a rights definition object that you use to update your template:

  1. Kullanarak dış e-posta adreslerini ve haklarını bir hak tanımı nesnesinde belirtin New-AadrmRightsDefinition cmdlet'ini bir değişken oluşturun.Specify the external email addresses and their rights in a rights definition object, by using the New-AadrmRightsDefinition cmdlet to create a variable.

  2. Bu değişken RightsDefinition parametresine ile Set-AadrmTemplateProperty cmdlet'i.Supply this variable to the RightsDefinition parameter with the Set-AadrmTemplateProperty cmdlet.

    Mevcut bir şablona kullanıcılar eklediğinizde, yeni kullanıcıların yanı sıra, şablonlardaki mevcut kullanıcılar için hak tanımı nesneleri tanımlamanız gerekir.When you add users to an existing template, you must define rights definition objects for the existing users in the templates, in addition to the new users. Bu senaryo için yararlı bulabileceğiniz örnek 3: Yeni kullanıcılar ve özel bir şablon bir hakkı ekleme gelen örnekler cmdlet'i için bölüm.For this scenario, you might find helpful Example 3: Add new users and rights to a custom template from the Examples section for the cmdlet.

Grup türünü Azure RMS ile kullanabilir miyim?What type of groups can I use with Azure RMS?

Çoğu senaryo için bir e-posta adresine sahip Azure AD'de herhangi bir grup türünü kullanabilirsiniz.For most scenarios, you can use any group type in Azure AD that has an email address. Bu kural karşısında her zaman Azure Rights Management hizmetini yönetmek için bazı özel durumlar vardır ancak kullanım hakları atamak için geçerlidir.This rule of thumb always applies when you assign usage rights but there are some exceptions for administering the Azure Rights Management service. Daha fazla bilgi için grup hesapları için Azure Information Protection gereksinimleri.For more information, see Azure Information Protection requirements for group accounts.

Bir Gmail veya Hotmail hesabına nasıl korumalı e-posta gönderebilirim?How do I send a protected email to a Gmail or Hotmail account?

Exchange Online ve Azure Rights Management hizmetini kullandığınızda, yalnızca e-posta kullanıcıya korumalı bir iletiyi gönderin.When you use Exchange Online and the Azure Rights Management service, you just send the email to the user as a protected message. Örneğin, yeni seçebilirsiniz koru düğmesini Web üzerinde Outlook'u komut çubuğunda, Outlook kullanın iletme düğme ya da menü seçeneği.For example, you can select the new Protect button in the command bar in Outlook on the Web, use the Outlook Do Not Forward button or menu option. Veya bir Azure Information Protection etiketini otomatik iletme sizin için geçerlidir ve e-posta sınıflandırır seçebilirsiniz.Or, you can select an Azure Information Protection label that automatically applies Do Not Forward for you, and classifies the email.

Gmail, Yahoo veya Microsoft hesabında oturum açmak için bir seçenek alıcı görür ve korumalı e-posta okuyabilirsiniz.The recipient sees an option to sign in to their Gmail, Yahoo, or Microsoft account, and then they can read the protected email. Alternatif olarak, bunlar bir tarayıcıda e-posta okumak bir kerelik geçiş seçeneğini seçebilirsiniz.Alternatively, they can choose the option for a one-time passcode to read the email in a browser.

Bu senaryoyu desteklemek için Exchange Online'da Azure Rights Management hizmetini ve Office 365 ileti şifreleme'deki yeni özellikler için etkinleştirilmesi gerekir.To support this scenario, Exchange Online must be enabled for the Azure Rights Management service and the new capabilities in Office 365 Message Encryption. Bu yapılandırma hakkında daha fazla bilgi için bkz. Exchange Online: IRM Yapılandırması.For more information about this configuration, see Exchange Online: IRM Configuration.

Tüm cihazlarda tüm e-posta hesaplarını destekleyen içeren yeni özellikleri hakkında daha fazla bilgi için için şu blog yayınına bakın: Office 365 ileti şifreleme içinde kullanılabilen yeni özellikleri duyuruyoruz.For more information about the new capabilities that include supporting all email accounts on all devices, see the following blog post: Announcing new capabilities available in Office 365 Message Encryption.

Azure RMS hangi cihazları ve hangi dosya türlerini destekler?What devices and which file types are supported by Azure RMS?

Azure Rights Management hizmetini destekleyen cihazlar listesi için bkz. Azure Rights Management veri korumayı destekleyen istemci cihazları.For a list of devices that support the Azure Rights Management service, see Client devices that support Azure Rights Management data protection. Desteklenen tüm cihazlar şu anda tüm Rights Management özelliklerini desteklemediğinden, aynı makaledeki RMS kullanan uygulamalar tablosuna da bakmayı unutmayın.Because not all supported devices can currently support all Rights Management capabilities, be sure to also check the table for RMS-enlighted applications.

Azure Rights Management hizmeti tüm dosya türlerini destekler.The Azure Rights Management service can support all file types. Metin, görüntü, Microsoft Office (Word, Excel, PowerPoint) dosyaları, .pdf dosyaları ve başka bazı uygulama dosya türleri için Azure Rights Management, hem şifreleme hem de hakların (izinler) zorunlu kılınmasını kapsayan yerel koruma sağlar.For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and some other application file types, Azure Rights Management provides native protection that includes both encryption and enforcement of rights (permissions). Diğer tüm uygulamalar ve dosya türleri için, genel koruma bir kullanıcının dosyayı açma yetkisi olup olmadığını doğrulamak için dosya kapsülleme ve kimlik doğrulaması sağlar.For all other applications and file types, generic protection provides file encapsulation and authentication to verify if a user is authorized to open the file.

Azure Rights Management tarafından yerel olarak desteklenen dosya adı uzantılarının listesi için bkz. Azure Information Protection istemcisi tarafından desteklenen dosya türleri.For a list of file name extensions that are natively supported by Azure Rights Management, see File types supported by the Azure Information Protection client. Listede olmayan dosya adı uzantıları, bu dosyalara otomatik olarak genel koruma uygulayan Azure Information Protection istemcisi kullanılarak desteklenir.File name extensions not listed are supported by using the Azure Information Protection client that automatically applies generic protection to these files.

Mac bilgisayarını belgeleri korumak ve izlemek için nasıl yapılandırabilirim?How do I configure a Mac computer to protect and track documents?

İlk olarak, Office için Mac adresindeki yazılım yükleme bağlantısını kullanarak yüklediğinizden emin olun https://admin.microsoft.com.First, make sure that you have installed Office for Mac by using the software installation link from https://admin.microsoft.com. Tam yönergeler için bkz: indirin ve yükleyin ya da bir PC veya Mac bilgisayarda Office 365 veya Office 2019 yeniden.For full instructions, see Download and install or reinstall Office 365 or Office 2019 on a PC or Mac.

Outlook’u açın ve Office 365 iş veya okul hesabını kullanarak bir profil oluşturun.Open Outlook and create a profile by using your Office 365 work or school account. Ardından, yeni ileti oluşturun ve Azure Rights Management hizmetini kullanarak belgeleri ve e-postaları koruyabilecek şekilde Office’i yapılandırmak için aşağıdakileri yapın:Then, create a new message and do the following to configure Office so that it can protect documents and emails by using the Azure Rights Management service:

  1. Yeni iletide, Seçenekler sekmesinde İzinler’e tıklayın ve sonra da Kimlik Bilgilerini Doğrula’ya tıklayın.In the new message, on the Options tab, click Permissions, and then click Verify Credentials.

  2. İstendiğinde, Office 365 iş veya okul hesabınızın ayrıntılarını yeniden belirtin ve Oturum aç’ı seçin.When prompted, specify your Office 365 work or school account details again, and select Sign in.

    Bu işlem Azure Rights Management şablonlarını indirir ve Kimlik Bilgilerini Doğrula seçeneği yerini Kısıtlama Yok, İletme ve kiracınız için yayımlanan tüm Azure Rights Management şablonlarını içeren seçeneklere bırakır.This downloads the Azure Rights Management templates and Verify Credentials is now replaced with options that include No Restrictions, Do Not Forward, and any Azure Rights Management templates that are published for your tenant. Artık bu yeni iletiyi iptal edebilirsiniz.You can now cancel this new message.

Bir e-posta iletisini veya belgeyi korumak için: Üzerinde seçenekleri sekmesinde izinleri ve bir seçenek veya e-posta veya belgenizi koruyan bir şablon seçin.To protect an email message or a document: On the Options tab, click Permissions and choose an option or template that protects your email or document.

Koruma altına aldıktan sonra belgeyi izlemek için: Azure Information Protection istemcisi yüklü olan bir Windows bilgisayardan, belge izleme sitesine bir Office uygulaması veya dosya Gezgini'ni kullanarak belgeyi kaydedin.To track a document after you have protected it: From a Windows computer that has the Azure Information Protection client installed, register the document with the document tracking site by using either an Office application or File Explorer. Yönergeler için bkz. Belgelerinizi izleme ve iptal etme.For instructions, see Track and revoke your documents. Mac bilgisayarınızda, artık web tarayıcınızı kullanarak belge izleme sitesini için kullanabilirsiniz (https://track.azurerms.com) izlemek ve bu belgeye erişimi iptal etmek için.From your Mac computer, you can now use your web browser to go to the document tracking site (https://track.azurerms.com) to track and revoke this document.

RMS korumalı bir Office belgesini açtığımda, ilişkili geçici dosya da RMS korumalı hale gelir mi?When I open an RMS-protected Office document, does the associated temporary file become RMS-protected as well?

Hayır.No. Bu senaryoda, ilişkili geçici dosya asıl belgeden veri içermez; bunun yerine yalnızca kullanıcının dosya açıkken girdiği verileri içerir.In this scenario, the associated temporary file doesn’t contain data from the original document but instead, only what the user enters while the file is open. Asıl dosyanın aksine geçici dosyanın paylaşılmak üzere tasarlanmadığı açıktır ve bu dosya cihazda kalarak BitLocker ve EFS gibi yerel güvenlik denetimleriyle korunur.Unlike the original file, the temporary file is obviously not designed for sharing and would remain on the device, protected by local security controls, such as BitLocker and EFS.

Aradığım bir özelliğin SharePoint korumalı kitaplıklarıyla çalışmadığı anlaşılıyor; bu özellik için destek planda var mı?A feature I am looking for doesn’t seem to work with SharePoint protected libraries—is support for my feature planned?

Şu anda, IRM kullanarak SharePoint destekler RMS korumalı, Rights Management şablonları, belge izlemeyi ve başka bazı özellikleri desteklemeyen kitaplıkları, korunan belgeleri.Currently, SharePoint supports RMS-protected documents by using IRM protected libraries, which do not support Rights Management templates, document tracking, and some other capabilities. Daha fazla bilgi için Office uygulamaları ve hizmetleri makalesinin SharePoint Online ve SharePoint Server bölümüne bakın.For more information, see the SharePoint Online and SharePoint Server section in the Office applications and services article.

Henüz desteklenmeyen belirli bir özellikle ilgileniyorsanız, Enterprise Mobility and Security Blog sayfasındaki duyuruları takip edin.If you are interested in a specific capability that isn't yet supported, be sure to keep an eye on announcements on the Enterprise Mobility and Security Blog.

SharePoint Online’da One Drive İş’i, kullanıcıların dosyalarını şirket içinden ve dışından kişilerle güvenli şekilde paylaşmalarını sağlamak için nasıl yapılandırabilirim?How do I configure One Drive for Business in SharePoint Online, so that users can safely share their files with people inside and outside the company?

Varsayılan olarak, Office 365 yöneticisi olarak bunu siz yapılandırmazsınız, kullanıcılar yapılandırır.By default, as an Office 365 administrator, you don’t configure this; users do.

Bir SharePoint site yöneticisinin IRM’yi sahip olduğu bir SharePoint kitaplığı için etkinleştirip yapılandırdığı şekilde, OneDrive İş kullanıcıların IRM’yi kendi OneDrive İş kitaplığını etkinleştirip yapılandırmalarına olanak verecek şekilde tasarlanmıştır.Just as a SharePoint site administrator enables and configures IRM for a SharePoint library that they own, OneDrive for Business is designed for users to enable and configure IRM for their own OneDrive for Business library. Bununla birlikte, PowerShell kullanarak bunu onlar için siz yapabilirsiniz.However, by using PowerShell, you can do this for them. Yönergeler için SharePoint Online ve OneDrive iş: IRM Yapılandırması konusundaki Office 365: İstemciler ve çevrimiçi hizmetler için yapılandırma makalesi.For instructions, see the SharePoint Online and OneDrive for Business: IRM Configuration section in the Office 365: Configuration for clients and online services article.

Başarılı bir dağıtım için ipuçları veya püf noktaları var mıdır?Do you have any tips or tricks for a successful deployment?

Pek çok dağıtımı gözlemledikten ve müşterilerimizi, iş ortakları sonra danışmanlarımızı ve destek mühendisleri – biz geçirmek üzerinde en önemli ipuçlarından biri şudur karşılaşırsınız: Tasarım ve dağıtım basit ilkeleri.After overseeing many deployments and listening to our customers, partners, consultants, and support engineers – one of the biggest tips we can pass on from experience: Design and deploy simple policies.

Azure Information Protection herhangi biriyle güvenli şekilde paylaşımı desteklediğinden, veri koruma menziliniz konusunda hırslı davranabilirsiniz.Because Azure Information Protection supports sharing securely with anyone, you can afford to be ambitious with your data protection reach. Ancak hak kullanım kısıtlamaları yapılandırırken koruyucu.But be conservative when you configure rights usage restrictions. Çoğu kuruluş için en büyük iş etkisi, kuruluşunuzdaki kişilere erişimi kısıtlayarak veri sızıntısını önleme gelir.For many organizations, the biggest business impact comes from preventing data leakage by restricting access to people in your organization. Tabii, gerekirse kişilerin yazdırma, düzenleme vb. yapmalarını önlemek için bundan daha ayrıntıcı davranabilirsiniz. Ancak gerçekten üst düzey güvenlik gerektiren belgeler için istisna olarak daha ayrıntılı sınırlamalar saklayın ve daha kısıtlayıcı bu kullanım hakları günden, ancak daha aşamalı bir yaklaşım planlama uygulamayıp.Of course, you can get much more granular than that if you need to – prevent people from printing, editing etc. But keep the more granular restrictions as the exception for documents that really need high-level security, and don’t implement these more restrictive usage rights on day one, but plan for a more phased approach.

Artık kuruluştan ayrılan bir çalışan tarafından korunan dosyalara erişimi nasıl yeniden elde ederiz?How do we regain access to files that were protected by an employee who has now left the organization?

Kullanım süper kullanıcı özelliğini, tam denetim kullanım hakları yetkili kullanıcıların tüm belgeler ve e-postaların veren kiracınız tarafından korunur.Use the super user feature, which grants the Full Control usage rights to authorized users for all documents and emails that are protected by your tenant. Süper kullanıcılar her zaman bu korumalı içeriği okumak ve gerekirse, korumasını kaldırabilir veya farklı kullanıcılar için koruyun.Super users can always read this protected content, and if necessary, remove the protection or reprotect it for different users. Aynı özellik yetkili hizmetlerin gerektiğinde dosyaları dizinleyip incelemesine de olanak sağlar.This same feature lets authorized services index and inspect files, as needed.

Belge izleme sitesinde iptal etmeyi test ederken kişilerin belgeye 30 gün kadar daha erişebileceğini belirten bir ileti görüyorum. Bu süre yapılandırılabilir mi?When I test revocation in the document tracking site, I see a message that says people can still access the document for up to 30 days—is this time period configurable?

Evet.Yes. Bu ileti yansıtır kullanım lisansı söz konusu dosyanın.This message reflects the use license for that specific file.

Bir dosyayı iptal ederseniz bu eylem yalnızca kullanıcının kimlik bilgileri Azure Rights Management hizmetinde doğruladığında uygulanabilir.If you revoke a file, that action can be enforced only when the user authenticates to the Azure Rights Management service. Yani bir dosyanın kullanım lisansı geçerlilik süresi 30 günse ve kullanıcı belgeyi zaten açtıysa, kullanıcı kullanım lisansı süresi boyunca belgeye erişebilir.So if a file has a use license validity period of 30 days and the user has already opened the document, that user continues to have access to the document for the duration of the use license. Kullanım lisansı süresi dolduğunda belge iptal edildiğinden kullanıcı erişimi reddedilir ve bu noktada kullanıcının belgeye erişmek için yeniden kimliğini doğrulaması gerekir.When the use license expires, the user must reauthenticate, at which point the user is denied access because the document is now revoked.

Belgeyi korumaya alan, yani Rights Management uygulayan kullanıcı bu iptal işleminden etkilenmez ve kendi belgelerine her zaman erişebilir.The user who protected the document, the Rights Management issuer is exempt from this revocation and is always able to access their documents.

Bir kiracının kullanım lisansı geçerlilik süresi için varsayılan değer 30 gündür ve bu ayarı daha kısıtlayıcı bir ayar etiketi veya şablonu tarafından geçersiz kılınabilir.The default value for the use license validity period for a tenant is 30 days and this setting can be overridden by a more restrictive setting in a label or template. Kullanım lisansı ve nasıl yapılandırılacağı hakkında daha fazla bilgi için bkz. Rights Management'ı, lisans belgeleri.For more information about the use license and how to configure it, see the Rights Management use license documentation.

Rights Management ekran görüntüleri yakalamayı engelleyebilir mi?Can Rights Management prevent screen captures?

Vermeyerek kopyalama kullanım hakkına, Rights Management Windows platformlarında (Windows 7, Windows 8.1, Windows 10, yaygın olarak kullanılan ekran yakalama araçlarının çoğu ekran görüntüsü almayı engelleyebilir Windows 10 Mobile) ve Android.By not granting the Copy usage right, Rights Management can prevent screen captures from many of the commonly used screen capture tools on Windows platforms (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile) and Android. Ancak, iOS ve Mac cihazları herhangi bir uygulamanın ekran görüntüsü almayı engellemesine izin vermez.However, iOS and Mac devices do not allow any app to prevent screen captures. Ayrıca, herhangi bir cihazda tarayıcı ekran görüntüsü almayı engelleyemez.In addition, browsers on any device cannot prevent screen captures. Tarayıcı kullanımı, web üzerinde Outlook ve Office Online içerir.Browser use includes Outlook on the web and Office Online.

Ekran görüntüsü almayı engellemek, gizli veya hassas bilgilerin yanlışlık veya ihmal sonucu ortaya çıkmasını önlemeye yardımcı olabilir.Preventing screen captures can help to avoid accidental or negligent disclosure of confidential or sensitive information. Ancak, bir kullanıcının ekranda görüntülenen verileri paylaşmasının birçok yolu vardır ve ekran görüntüsü almak yalnızca bir yöntemdir.But there are many ways that a user can share data that is displayed on a screen, and taking a screen shot is only one method. Örneğin, görüntülenen bilgileri paylaşmayı amaçlayan bir kullanıcı, kameralı telefonunu kullanarak resmini çekebilir, verileri yeniden yazabilir veya basitçe sözlü olarak birine anlatabilir.For example, a user intent on sharing displayed information can take a picture of it using their camera phone, retype the data, or simply verbally relay it to somebody.

Bu örneklerde görüldüğü gibi, tüm platformlar ve tüm yazılımlar Rights Management API’lerinin ekran görüntüsü almayı engellemelerini desteklese bile, kullanıcıların paylaşmamaları gereken verileri paylaşmalarını teknoloji her zaman tek başına önleyemez.As these examples demonstrate, even if all platforms and all software supported the Rights Management APIs to block screen captures, technology alone cannot always prevent users from sharing data that they should not. Rights Management yetkilendirme ve kullanım ilkeleri kullanarak önemli verilerinizi korumaya yardımcı olabilir, ancak bu kurumsal hak yönetim çözümü başka denetimlerle birlikte kullanılmalıdır.Rights Management can help to safeguard your important data by using authorization and usage policies, but this enterprise rights management solution should be used with other controls. Örneğin, fiziksel güvenlik yöntemleri uygulayın, kuruluşunuzun verilerine erişim yetkisi olan kişileri dikkatle izleyin ve takip edin ve kullanıcıların hangi verilen paylaşılmaması gerektiğini anlamaları için kullanıcı eğitimine yatırım yapın.For example, implement physical security, carefully screen and monitor people who have authorized access to your organization's data, and invest in user education so users understand what data should not be shared.

Kullanıcıların, bir e-postayı İletme seçeneğiyle koruması ile İletme hakkı içermeyen bir şablonla koruması arasında ne fark vardır?What's the difference between a user protecting an email with Do Not Forward and a template that doesn't include the Forward right?

Adına ve görünümüne karşın İletme seçeneği, İletim hakkının karşıtı ya da bir şablon değildir.Despite its name and appearance, Do Not Forward is not the opposite of the Forward right, or a template. Bu seçenek, e-postaların iletilmesinin yanı sıra kopyalamayı, yazdırmayı ve ekleri kaydetmeyi de kısıtlayan hakları kapsar.It is actually a set of rights that include restricting copying, printing, and saving attachments, in addition to restricting the forwarding of emails. Haklar, seçilen aracılar aracılığıyla kullanıcılara dinamik olarak uygulanır; yönetici tarafından statik olarak atanmaz.The rights are dynamically applied to users via the chosen recipients, and not statically assigned by the administrator. Daha fazla bilgi edinmek için, Azure Rights Management için kullanım hakları yapılandırma konusunun E-postalar için İletme seçeneği bölümüne bakın.For more information, see the Do Not Forward option for emails section in Configuring usage rights for Azure Rights Management.