Azure Information Protection’da veri koruması hakkında sık sorulan sorular

Için geçerlidir: Azure Information Protection, Office 365

için uygun: AIP birleşik etiketleme istemcisi ve klasik istemcisi. Daha fazla bilgi için bkz. Yalnızca klasik istemciye ilişkin SSS.

Not

Birleşik ve kolaylaştırılmış bir müşteri deneyimi sağlamak için Azure portalındaki Azure Information Protection Klasik istemci ve etiket yönetimi 31 Mart 2021 itibarıyla kullanım dışıdır . Klasik istemci yapılandırıldığı şekilde çalışmaya devam ederken, başka bir destek sağlanmaz ve artık klasik istemci için bakım sürümleri yayınlanmayacaktır.

Birleşik etiketlemeye geçiş yapmanızı ve Birleşik etiketleme istemcisineyükseltmenizi öneririz. Son kullanımdan kaldırma blogumuzhakkında daha fazla bilgi edinin.

Azure Information Protection’ın veri koruma hizmeti Azure Rights Management hakkında sorunuz mu var? Burada cevaplanıp cevaplanmadığına bakın.

Dosyaların Azure Rights Management tarafından korunması için bulutta olması gerekir mi?

Hayır, bu yaygın bir yanılgıdır. Azure Rights Management hizmeti (ve Microsoft) verilerinizi bilgi koruma sürecinin parçası olarak görmez ve depolamaz. Koruduğunuz bilgiler siz açıkça Azure’da depolamadığınız veya Azure’da depolayan başka bir bulut hizmeti kullanmadığınız sürece hiçbir zaman Azure'a gönderilmez.

Daha fazla bilgi için bkz. Nasıl Azure RMS çalışır? Şirket içinde oluşturulan ve depolanan gizli bir formülün Azure Rights Management hizmeti tarafından nasıl korunmakta olduğunu anlamak için bu formülün şirket içinde nasıl korunmaktadır?

Azure bulut hizmetleriyle diğer Microsoft Rights Management şifreleme arasındaki fark nedir?

Microsoft, verilerinizi farklı ve genellikle tamamlayıcı senaryolar için korumanıza olanak tanıyan birden fazla şifreleme teknolojisi sağlar. Örneğin Microsoft 365, Microsoft 365'de depolanan veriler için bekleme sırasında şifreleme sunarken, Azure Information Protection'den Azure Rights Management hizmeti verilerinizi bağımsız olarak şifreler, böylece nerede bulunduğuna veya nasıl iletildiklerinden bağımsız olarak korunur.

Bu şifreleme teknolojiler tamamlayıcıdır ve bunları kullanmak için şifrelemek ayrı ayrı etkinleştirmek ve yapılandırmak gerekir. Bunu yaptığınızda, şifreleme için "BYOK" senaryosu adı verilen kendi anahtarınızı getirme seçeneğine sahip olursunuz. Bu teknolojilerden biri için BYOK’u etkinleştirmek diğerlerini etkilemez. Örneğin, BYOK’u Azure Information Protection için kullanabilir ve diğer şifreleme teknolojileri için kullanmayabilirsiniz ve bunun tersi de geçerlidir. Bu farklı teknolojiler tarafından kullanılan anahtarlar, her bir hizmet için şifreleme seçeneklerini nasıl yapılandırdığınıza bağlı olarak aynı veya farklı olabilir.

KAG'yi Exchange Online ile kullanabilir miyim?

Evet, artık Exchange Online ile BYOK'u kullanarak, Yeni Microsoft 365'nin üzerine Azure Information Protection. Bu yönergeler, Exchange Online'da yeni Office 365 İleti Şifrelemesi'nin yanı sıra Azure Information Protection için BYOK kullanmayı destekleyen yeni özellikleri etkinleştirir.

Bu değişiklik hakkında daha fazla bilgi için blog duyurusu: Yeni özelliklerle Office 365 İleti Şifrelemesi

Azure RMS ile tümleştirilebilen üçüncü taraf çözümler hakkında nereden bilgi edinebilirim?

Birçok yazılım satıcısı zaten Azure Rights Management ile tümleştirilen çözümler sunuyor ya da uyguluyor ve bu liste hızla büyüyor. RMS etkin uygulamalar listelerini kontrol etmek ve Twitter'da Microsoft'tan Mobility@MSFTMobility en son güncelleştirmeleri almak yararlı olabilir. Belirli tümleştirme sorularını Yammer sitesinden Azure Information Protection ve paylaşabilirsiniz.

RMS bağlayıcısı için bir yönetim paketi veya benzer bir izleme mekanizması var mı?

Bağlayıcı Rights Management, uyarı ve hata iletilerini olay günlüğüne kaydedse de, bu olaylar için izleme içeren bir yönetim paketi yok. Ancak, düzeltici eylemde size yardımcı olmak için daha fazla bilgi ile olay listesi ve açıklamalarının listesi Microsoft Rights Management bağlayıcısı'Rights Management belgelenir.

Azure portalda yeni bir özel şablonu nasıl oluşturabilirim?

Özel şablonlar, şablon olarak Azure portal veya etiketlere dönüştürebilirsiniz. Yeni şablon oluşturmak için, yeni bir etiket oluşturun ve Azure RMS’nin veri koruma ayarlarını yapılandırın. Bu işlem arka planda yeni bir şablon oluşturur ve bu şablona, Rights Management şablonlarıyla tümleştirilmiş olan hizmetler ve uygulamalar erişebilir.

Uygulama şablonunda şablonlar hakkında daha fazla bilgi Azure portal bkz. Azure Information Protection için şablonları yapılandırma ve yönetme.

Bir belgeyi korudum ve şimdi kullanım haklarını değiştirmek veya kullanıcı eklemek istiyorum; belgeyi yeniden korumam gerekiyor mu?

Belge bir etiket veya şablon kullanılarak korunuyorsa, belgeyi yeniden korumaya gerek yoktur. Kullanım haklarında değişikliklerinizi yaparak veya yeni gruplar (veya kullanıcılar) ekleyin ve ardından şu değişiklikleri kaydederek etiketi veya şablonu değiştirebilirsiniz:

  • Siz değişiklikleri oluşturmadan önce kullanıcı belgeye erişene kadar değişiklikler, kullanıcı belgeyi açtığı anda etkili olur.

  • Kullanıcı belgeye zaten eriştiğinde, kullanım lisansının süresi dolduğunda bu değişiklikler geçerli olur. Belgeyi yeniden korumak için kullanım lisansının süresinin dolmasını beklemeniz gerekir. Yeniden koruma etkili bir şekilde belgenin yeni bir sürümünü oluşturur ve bu nedenle kullanıcı için yeni bir kullanım lisansı oluşturur.

Alternatif olarak, gerekli izinler için zaten bir grup yapılandırdıysanız, grup üyeliğini kullanıcıları dahil etmek veya dışlamak üzere değiştirebilirsiniz ve etiketi veya şablonu değiştirmeye gerek yoktur. Grup üyeliği Azure Rights Management hizmeti tarafından önbelleğe alınarak değişikliklerin etkili olması için küçük bir gecikme olabilir.

Belge özel izinler kullanılarak korunuyorsa, mevcut belgenin izinlerini değiştiremezsiniz. Belgeyi yeniden korumanız ve belgenin bu yeni sürümü için gereken tüm kullanıcıları ve tüm kullanım haklarını belirtmeniz gerekir. Korumalı bir belgeyi yeniden korumak için Tam Denetim kullanım hakkının olması gerekir.

İpucu: Bir belgenin şablon tarafından mı yoksa özel izin kullanılarak mı korunmakta olduğunu kontrol etmek için Get-AIPFileStatus PowerShell cmdlet'ini kullanın. Get-RMSTemplate'içalıştırsanız görüntülenmez benzersiz bir şablon kimliği ile özel izinler için Kısıtlı Erişim'in şablon açıklamasını her zaman görüyorsunuz.

Bazı kullanıcıları Exchange Online’da ve bazıları Exchange Server’da bulunan karma bir Exchange dağıtımım var. Azure RMS bunu destekler mi?

Kesinlikle ve iyi olan, kullanıcıların iki Exchange dağıtımında korumalı e-postaları ve ekleri sorunsuz bir şekilde koruyarak tüketmesidir. Bu yapılandırma için, Azure RMS’yi etkinleştirin, Exchange Online için IRM’yi etkinleştirin ve Exchange Server için RMS bağlayıcısını dağıtıp yapılandırın.

Bu korumayı üretim ortamım için kullanırsa şirketim çözüme kilitlenir mi veya Azure RMS ile korunan içeriğe erişimi kaybetme riskiyle karşılaşır mı?

Hayır, verilerinizin denetimi her zaman sizde olur. Artık Azure Rights Management hizmetini kullanmamaya karar verseniz bile verilerinize erişiminiz devam eder. Daha fazla bilgi için bkz. Azure Rights Management yetkisini alma ve devre dışı bırakma.

Hangi kullanıcılarımın içerikleri korumak üzere Azure RMS kullanabileceğini belirleyebilir miyim?

Evet, Azure Rights Management hizmetinin bu senaryo için kullanıcı ekleme denetimleri vardır. Daha fazla bilgi için, Azure Information Protection'dan koruma hizmetini etkinleştirme makalesinde Aşamalı dağıtım için ekleme denetimlerini yapılandırma bölümüne bakın.

Kullanıcıların korumalı belgeleri belirli kuruluşlarla paylaşmasını engelleyebilir miyim?

Veri koruma için Azure Rights Management hizmetini kullanmanın en büyük avantajlarından biri, kimlik doğrulamasıyla sizin yerinize Azure AD ilgilendiğinden, her iş ortağı kuruluş için açık güvenleri yapılandırmaya gerek kalmadan işletmeler arası işbirliğini desteklemesidir.

Kullanıcıların belgeleri belirli kuruluşlarla güvenli bir şekilde paylaşılmasını engellemek için herhangi bir yönetim seçeneği yoktur. Örneğin, güvenme olmadığınız veya rakip bir işletmeye sahip olan bir kuruluşu engellemek istiyor olabilir. Azure Rights Management hizmetinin korumalı belgeleri bu kuruluşlarda kullanıcılara göndermesini engellemek mantıklı olmaz çünkü kullanıcılarınız bu senaryoda gerçekleşmesini istediğiniz en son şey olan korumasız belgelerini paylaşacaktır. Örneğin, şirket gizli belgelerini bu kuruluşlarda hangi kullanıcılarla paylaştığını belirleyeyesiniz. Belge (veya e-posta) Azure Rights Management hizmeti tarafından korundu.

Korumalı bir belgeyi şirketimin dışındaki biriyle paylaştığımda, bu kullanıcının kimlik doğrulaması nasıl yapılır?

Varsayılan olarak, Azure Rights Management hizmeti kullanıcı kimlik doğrulaması için bir Azure Active Directory hesabı ve ilişkili bir e-posta adresi kullanır ve bu da işletmeler arasında işbirliğini yöneticiler için sorunsuz bir şekilde sağlar. Diğer kuruluş Azure hizmetlerini kullanıyorsa, kullanıcıların, şirket için oluşturulup yönetiliyor ve Azure ile eşitleniyor olsa bile halen Azure Active Directory’de hesapları vardır. Kuruluşun bir Microsoft 365, bu hizmet kullanıcı hesapları için Azure Active Directory de kullanır. Kullanıcının kuruluşun Azure'da yönetilen hesapları yoksa, kullanıcılar kişiler için RMS'yekaydolarak kullanıcı için bir hesap ile kuruluş için yönetilemeyen bir Azure kiracısı ve dizini oluşturur ve böylece bu kullanıcının (ve sonraki kullanıcıların) Azure Rights Management hizmeti için kimliği doğrulanabilir.

Bu hesaplar için kimlik doğrulama yöntemi, diğer kuruluşta yöneticisinin Azure Active Directory hesaplarını nasıl yapılandırdığına bağlı olarak değişebilir. Örneğin, bu hesaplar, federasyon veya Active Directory Domain Services'de oluşturulan ve daha sonra bu hesaplara eşitlenen parolalar Azure Active Directory.

Diğer kimlik doğrulama yöntemleri:

  • Bir e-postayı, Azure AD'de hesabı olmayan bir kullanıcıya Office belge ekiyle koruyorsanız kimlik doğrulama yöntemi değişir. Azure Rights Management hizmeti Gmail gibi bazı popüler sosyal kimlik sağlayıcılarıyla bir federasyona sahip. Kullanıcının e-posta sağlayıcısı desteklense, kullanıcı bu hizmette oturum açir ve kullanıcının e-posta sağlayıcısı kimlik doğrulamadan sorumludur. Kullanıcının e-posta sağlayıcısı desteklenmiyorsa veya tercih olarak, kullanıcı kimliklerini doğrular ve korumalı belgeyi içeren e-postayı bir web tarayıcısında görüntüleyen tek kullanımlık bir geçiş koduna başvurabilir.

  • Azure Information Protection uygulamalar için Microsoft hesaplarını kullanabilirsiniz. Şu anda, kimlik doğrulaması için bir uygulama Microsoft hesabı tüm uygulamalar korumalı içeriği açamamaktadır. Daha fazla bilgi

Özel şablonlara dış kullanıcılar (şirketim dışındaki kullanıcılar) ekleyebilir miyim?

Evet. Kuruluş içinde yapılandırabilirsiniz koruma ayarları Azure portal kuruluş dışındaki kullanıcılara ve gruplara, hatta başka bir kuruluşta yer alan tüm kullanıcılara izinler eklemenize izinler eklemenize izin sağlar. Belge işbirliğini güvenli hale Azure Information Protection.

Uygulama etiketleriniz varsa, Azure Information Protection koruma ayarlarını yapılandırmadan önce özel şablonlarınızı bir etikete dönüştürmeniz Azure portal. Daha fazla bilgi için, bkz. Configuring and managing templates for Azure Information Protection.

Alternatif olarak, PowerShell kullanarak özel şablonlara (ve etiketlere) dış kullanıcılar abilirsiniz. Bu yapılandırma, şablonlarınızı güncelleştirmek için kullanabileceğiniz bir hak tanımı nesnesi kullanmanızı gerektirir:

  1. Değişken oluşturmak için New-AipServiceRightsDefinition cmdlet'ini kullanarak bir hak tanımı nesnesinde dış e-posta adreslerini ve haklarını belirtin.

  2. Bu değişkeni Set-AipServiceTemplateProperty cmdlet'iyle RightsDefinition parametresine girin.

    Mevcut bir şablona kullanıcı eklerken, yeni kullanıcılara ek olarak şablonlardaki mevcut kullanıcılar için hak tanımı nesneleri tanımlamanız gerekir. Bu senaryo için örnek 3: Cmdlet'in Örnekler bölümünden özel bir şablona yeni kullanıcı ve hak ekleme yararlı olabilir.

Bu gruplarla hangi tür grupları Azure RMS?

Çoğu senaryoda, Azure AD'de e-posta adresi olan herhangi bir grup türünü kullanabilirsiniz. Bu başparmak kuralı her zaman kullanım hakları atadığınız zaman geçerlidir, ancak Azure Rights Management hizmetini yönetmek için bazı özel durumlar vardır. Daha fazla bilgi için bkz. Azure Information Protection hesaplarının gereksinimlerine bakın.

Bir Gmail veya Hotmail hesabına nasıl korumalı e-posta gönderebilirim?

Exchange Online ve Azure Rights Management hizmetini kullanarak e-postayı kullanıcıya korumalı bir ileti olarak gönderirsiniz. Örneğin, Web'de Outlook'ta komut çubuğunda yeni Koru düğmesini seçebilirsiniz, Outlook'u Yönlendirme düğmesini veya menü seçeneğini kullanın. Veya sizin için otomatik olarak Azure Information Protection bir etiket seçerek e-postayı sınıflara ebilirsiniz.

Alıcı, Gmail, Yahoo veya Microsoft hesabı oturum açma seçeneğini görür ve korumalı e-postayı okuyabilir. Alternatif olarak, bir tarayıcıda e-postayı okumak için tek seferlik geçiş kodu seçeneğini de seçebilirler.

Bu senaryoyu desteklemek için, Exchange Online'ın Azure Rights Management ve Office 365 İleti Şifrelemesi'nin yeni özellikleri için etkinleştirilmesi gerekir. Bu yapılandırma hakkında daha fazla bilgi için bkz. Exchange Online: IRM Yapılandırması.

Tüm cihazlarda tüm e-posta hesaplarını desteklemeyi içeren yeni özellikler hakkında daha fazla bilgi için şu blog gönderisi: Office 365İleti Şifrelemesi'ne yeni özellikler ek açıklama.

Azure RMS hangi cihazları ve hangi dosya türlerini destekler?

Azure Rights Management hizmetini destekleyen cihazlar listesi için bkz. Azure Rights Management veri korumayı destekleyen istemci cihazları. Desteklenen tüm cihazlar şu anda tüm Rights Management destekleyeyene sahip olduğundan, RMS'nin denetimine sahip uygulamalar için tabloları da kontrol edin.

Azure Rights Management hizmeti tüm dosya türlerini destekler. Metin, görüntü, Microsoft Office (Word, Excel, PowerPoint) dosyaları, .pdf dosyaları ve başka bazı uygulama dosya türleri için Azure Rights Management, hem şifreleme hem de hakların (izinler) zorunlu kılınmasını kapsayan yerel koruma sağlar. Diğer tüm uygulamalar ve dosya türleri için, genel koruma bir kullanıcının dosyayı açma yetkisi olup olmadığını doğrulamak için dosya kapsülleme ve kimlik doğrulaması sağlar.

Azure Rights Management tarafından yerel olarak desteklenen dosya adı uzantılarının listesi için bkz. Azure Information Protection istemcisi tarafından desteklenen dosya türleri. Listede olmayan dosya adı uzantıları, bu dosyalara otomatik olarak genel koruma uygulayan Azure Information Protection istemcisi kullanılarak desteklenir.

RMS korumalı bir Office belgesini açtığımda, ilişkili geçici dosya da RMS korumalı hale gelir mi?

Hayır. Bu senaryoda, ilişkili geçici dosya özgün belgeden veri içermez, bunun yerine yalnızca dosya açıkken kullanıcının girdiği bilgileri içerir. Asıl dosyanın aksine geçici dosyanın paylaşılmak üzere tasarlanmadığı açıktır ve bu dosya cihazda kalarak BitLocker ve EFS gibi yerel güvenlik denetimleriyle korunur.

Benim için bir özellik SharePoint korumalı kitaplıklarla çalışmıyor gibi görünüyor; özelliğim için destek planlanıyor mu?

Şu anda Microsoft SharePoint, IRM korumalı kitaplıkları kullanarak RMS korumalı belgeleri destekler. Bu kitaplıklar, Rights Management, belge izleme ve diğer bazı özellikleri desteklemez. Daha fazla bilgi için Office uygulamaları ve hizmetleri makalesinde Microsoft 365 ve SharePoint Server'da SharePoint bölümüne bakın.

Henüz desteklenene belirli bir özellikle ilgileniyorsanız, Enterprise Mobility and Security Blog'daki duyuruları takip edin.

Nasıl yaparım? şirket içindeki ve dışındaki kullanıcılarla güvenli bir şekilde paylaştıracak şekilde SharePoint'te One Drive'ı yapılandırabilirsiniz.

Varsayılan olarak, Microsoft 365 yönetici olarak bunu yapılandırmazsanız; kullanıcılar bunu yapar.

SharePoint site yöneticisinin sahip olduğu bir SharePoint kitaplığı için IRM'yi etkinleştirmesi ve yapılandırması gibi, OneDrive da kullanıcıların kendi OneDrive kitaplıkları için IRM'yi etkinleştirmesi ve yapılandırması için tasarlanmıştır. Bununla birlikte, PowerShell kullanarak bunu onlar için siz yapabilirsiniz. Yönergeler için bkz. Microsoft 365 OneDrive' da SharePoint: IRM Yapılandırması.

Başarılı bir dağıtım için ipuçları veya püf noktaları var mıdır?

Pek çok dağıtımı gözlemledikten ve müşterilerimizi, iş ortaklarımızı, danışmanlarımızı ve destek mühendislerimizi dinledikten sonra , bu deneyimlerden aktarabileceğimiz en önemli ipuçlarından biri şudur: Basit ilkeleri tasarlayın ve dağıtın.

Azure Information Protection herhangi biriyle güvenli şekilde paylaşımı desteklediğinden, veri koruma menziliniz konusunda hırslı davranabilirsiniz. Ancak hak kullanımı kısıtlamalarını yapılandırıyorken tutucu olmak. Birçok kuruluş için en büyük iş etkisi, erişimin kuruluşta çalışanlarla sınırlandırarak veri sızıntısını önlemeye yöneliktir. Elbette gerekirse, kişilerin yazdırmasını, düzenlemesini vb. önlemeye göre çok daha ayrıntılı bir hale gelirsiniz. Ancak, gerçekten üst düzey güvenlik gereken belgeler için özel durum olarak daha ayrıntılı kısıtlamaları kullanın ve bu daha kısıtlayıcı kullanım haklarını ilk günden uygulamanın yanı sıra daha aşamalı bir yaklaşım planlayın.

Artık kuruluştan ayrılan bir çalışan tarafından korunan dosyalara erişimi nasıl yeniden elde ederiz?

Kiracınız tarafından korunan tümbelge ve e-postalar için yetkili kullanıcılara Tam Denetim kullanım hakları gönderen süper kullanıcı özelliğini kullanın. Süper kullanıcılar bu korumalı içeriği her zaman okuyabilir ve gerekirse korumayı kaldırabilir veya farklı kullanıcılar için yeniden koruma altına alın. Aynı özellik yetkili hizmetlerin gerektiğinde dosyaları dizinleyip incelemesine de olanak sağlar.

İçeriğiniz SharePoint veya OneDrive'da depolanıyorsa yöneticiler Unlock-SensitivityLabelEncryptedFile cmdlet'ini çalıştırarak hem duyarlılık etiketini hem de şifrelemeyi kaldırabilir. Daha fazla bilgi için, Microsoft 365 bakın.

Rights Management ekran görüntüleri yakalamayı engelleyebilir mi?

Kopyalama kullanım hakkı verilmeerek Rights Management,Windows platformlarında (Windows 7, Windows 8.1, Windows 10 ve Windows 10 Mobile) yaygın olarak kullanılan ekran yakalama araçlarının birçoğundan ekran yakalamayı Windows 10 Mobile. Ancak iOS, Mac ve Android cihazlar hiçbir uygulamanın ekran yakalamayı engellemesine izin vermez. Ayrıca, herhangi bir cihazda tarayıcılar ekran yakalamayı engel olamaz. Tarayıcı kullanımı web'de Outlook ve web için Office'i içerir.

Ekran görüntüsü almayı engellemek, gizli veya hassas bilgilerin yanlışlık veya ihmal sonucu ortaya çıkmasını önlemeye yardımcı olabilir. Ancak bir kullanıcının ekranda görüntülenen verileri paylaşmanın birçok yolu vardır ve ekran görüntüsü almak yalnızca bir yöntemdir. Örneğin, görüntülenen bilgileri paylaşmayı amaçlayan bir kullanıcı, kameralı telefonunu kullanarak resmini çekebilir, verileri yeniden yazabilir veya basitçe sözlü olarak birine anlatabilir.

Bu örneklerde görüldüğü gibi, tüm platformlar ve tüm yazılımlar Rights Management API’lerinin ekran görüntüsü almayı engellemelerini desteklese bile, kullanıcıların paylaşmamaları gereken verileri paylaşmalarını teknoloji her zaman tek başına önleyemez. Rights Management yetkilendirme ve kullanım ilkeleri kullanarak önemli verilerinizi korumaya yardımcı olabilir, ancak bu kurumsal hak yönetim çözümü başka denetimlerle birlikte kullanılmalıdır. Örneğin, fiziksel güvenlik yöntemleri uygulayın, kuruluşunuzun verilerine erişim yetkisi olan kişileri dikkatle izleyin ve takip edin ve kullanıcıların hangi verilen paylaşılmaması gerektiğini anlamaları için kullanıcı eğitimine yatırım yapın.

Kullanıcıların, bir e-postayı İletme seçeneğiyle koruması ile İletme hakkı içermeyen bir şablonla koruması arasında ne fark vardır?

Adına ve görünümüne karşın İletme seçeneği, İletim hakkının karşıtı ya da bir şablon değildir. Bu, e-posta iletmeyi kısıtlamanın yanı sıra e-postayı kopyalamayı, yazdırmayı ve posta kutusunun dışına kaydetmeyi de içeren bir hak kümesidir. Haklar, seçilen aracılar aracılığıyla kullanıcılara dinamik olarak uygulanır; yönetici tarafından statik olarak atanmaz. Daha fazla bilgi için, E-postalar için Kullanım haklarını yapılandırma bölümündeki E-postalar için İleriye Azure Information Protection.