Azure Information Protection kullanarak güvenli belge işbirliği yapılandırmaConfiguring secure document collaboration by using Azure Information Protection

Uygulama hedefi: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Azure Information Protection kullanırken belgelerinizi yetkili kullanıcılar için işbirliği ödün vermeden koruyabilirsiniz.When you use Azure Information Protection, you can protect your documents without sacrificing collaboration for authorized users. Belgelerin büyük çoğunluğu bir kullanıcı oluşturur ve görüntüleyip başkalarıyla paylaşım Office Word, Excel ve PowerPoint belgelerden olabilir.The majority of documents that one user creates and then shares with others to view and edit will be Office documents from Word, Excel, and PowerPoint. Bu belgeleri, yetkilendirme ve şifreleme koruma özelliklerin yanı sıra, aynı zamanda kısıtlı daha ayrıntılı denetim için destekledikleri, yani yerel korumayı destekler.These documents support native protection, which means that in addition to the protection features of authorization and encryption, they also support restricted permission for more fine-grained control.

Bu izinleri kullanım hakları verilir ve izinleri içer gibi görüntüleme, düzenleme, yazdırma.These permissions are called usage rights, and include permissions such as view, edit, print. Bir belge korunuyor ya da izin düzeyleri adlı kullanım hakları, bir gruplandırmasını tanımlayabilirsiniz, tek tek kullanım haklarını tanımlayabilirsiniz.You can define individual usage rights when a document is protected, or you can define a grouping of usage rights, called permission levels. İzin düzeyleri, normalde birlikte, örneğin, gözden geçiren ve ortak Yazar kullanılan kullanım haklarını seçmeyi kolaylaştırır.Permission levels make it easier to select usage rights that are typically used together, for example, Reviewer and Co-Author. Kullanım hakları ve izin düzeyleri hakkında daha fazla bilgi için bkz: Azure Information Protection için kullanım haklarını yapılandırma.For more information about usage rights and permission levels, see Configuring usage rights for Azure Information Protection.

Bu izinleri yapılandırdığınızda, bunlar için hangi kullanıcıları belirtebilirsiniz:When you configure these permissions, you can specify which users they are for:

  • Kullanıcıların kendi kuruluş veya Azure Active Directory kullanan başka bir kuruluşa: Azure AD kullanıcı hesapları, Azure AD gruplarını veya tüm kullanıcılar söz konusu kuruluştaki belirtebilirsiniz.For users in your own organization or another organization that uses Azure Active Directory: You can specify Azure AD user accounts, Azure AD groups, or all users in that organization.

  • Bir Azure Active Directory hesabı olmayan kullanıcılar için: Bir Microsoft hesabı ile kullanılacak bir e-posta adresi belirtin.For users who do not have an Azure Active Directory account: Specify an email address that will be used with a Microsoft account. Bu hesap zaten var veya kullanıcıların kendilerinden korumalı belgeyi açabilmek zaman oluşturabilirsiniz.This account can already exist, or users can create it at the time they open the protected document.

    Bir Microsoft hesabı ile açmak için kullanıcılar Office 365 uygulamaları (Tıkla-Çalıştır) kullanmanız gerekir.To open documents with a Microsoft account, users must use Office 365 apps (Click-to-Run). Henüz bir Microsoft hesabı ile belgeleri Office açma desteği korumalı olmayan diğer Office sürümleri ve sürümler yapın.Other Office editions and versions do not yet support opening Office protected documents with a Microsoft account.

  • Herhangi bir kimliği doğrulanmış kullanıcı için: Bu seçenek korumalı belgeyi kimlerin erişebileceğini denetlemek gerektiğinde yoksa için uygun olan kullanıcı kimlik doğrulaması.For any authenticated user: This option is suitable for when you don't need to control who accesses the protected document, providing the user can be authenticated. Kimlik doğrulaması, içerik yeni Office 365 ileti şifreleme özellikleri tarafından korunduğunda, bir Microsoft hesabı veya hatta Federasyon sosyal sağlayıcılar veya bir kerelik geçiş kodu kullanarak Azure AD tarafından olabilir.The authentication can be by Azure AD, by using a Microsoft account, or even a federated social provider or one-time passcode when the content is protected by the new capabilities of Office 365 Message Encryption.

Yönetici olarak, yetkili kullanıcılar ve izinler uygulamak için bir Azure Information Protection etiketini yapılandırabilirsiniz.As an administrator, you can configure an Azure Information Protection label to apply the permissions and authorized users. Bunlar tüm ayrıntıları belirtmenize gerek kalmadan basit etiketi uygulamak için bu yapılandırma çok kullanıcıların ve diğer yöneticilerin doğru koruma ayarları uygulamak için kolaylaştırır.This configuration makes it very easy for users and other administrators to apply the correct protection settings, because they simply apply the label without having to specify any details. Aşağıdaki bölümler, iç ve dış kullanıcılarla güvenli işbirliğini destekleyen bir belgeyi korumak için bir örnek kılavuz sağlar.The following sections provide an example walkthrough to protect a document that supports secure collaboration with internal and external users.

İç ve dış işbirliğini desteklemek için koruma uygulamak için etiket için örnek yapılandırmaExample configuration for a label to apply protection to support internal and external collaboration

Bu örnekte Office 365 veya Azure AD, bir gruptan sahip farklı bir kuruluş olan başka bir kuruluştaki tüm kullanıcılarla kuruluşunuzdaki kullanıcıların belgeler üzerinde işbirliği yapabilir, böylece koruma uygulamak için var olan bir etiketi nasıl yapılandıracağınız anlatılmaktadır. Office 365 veya Azure AD ve bir kullanıcı hesabınız, Azure AD'de sahip değil ve bunun yerine, Gmail e-posta adreslerini kullanır.This example walks through configuring an existing label to apply protection so that users from your organization can collaborate on documents with all users from another organization that has Office 365 or Azure AD, a group from a different organization that has Office 365 or Azure AD, and a user who doesn't have an account in Azure AD and instead will use their Gmail email address.

Senaryo belirli kişilere erişim kısıtladığından, kimliği doğrulanmış kullanıcıları ayarını içermez.Because the scenario restricts access to specific people, it does not include the setting for any authenticated users. Bu ayar etiket nasıl yapılandırabileceğiniz bir örnek için bkz örnek 5: İçerik şifreler, ancak kimlerin erişebileceğini kısıtlamaz etiket.For an example of how you can configure a label with this setting, see Example 5: Label that encrypts content but doesn't restrict who can access it.

  1. Genel ilke veya kapsamı belirlenmiş bir ilke zaten olan, etiketi seçin.Select your label that's already in the global policy or a scoped policy. Üzerinde koruma dikey penceresinde emin Azure (bulut anahtarı) seçilir.On the Protection blade, make sure Azure (cloud key) is selected.

  2. Emin izinleri ayarla seçili ve select izinleri eklemek.Make sure Set permissions is selected, and select Add permissions.

  3. Üzerinde izinleri eklemek dikey penceresinde:On the Add permissions blade:

    • İç grubunuz için: Seçin Gözat directory e-posta özellikli olmalıdır grubunu seçin.For your internal group: Select Browse directory to select the group, which must be email-enabled.

    • İlk dış kuruluştaki tüm kullanıcılar için: Seçin ayrıntıları girin ve kuruluşun kiracıda bir etki alanının adını yazın.For all users in the first external organization: Select Enter details and type the name of a domain in the organization's tenant. Örneğin, fabrikam.com.For example, fabrikam.com.

    • İkinci dış kuruluştaki grubu için: Hala ayrıntıları girin sekmesinde, kuruluşun kiracısında grubun e-posta adresini yazın.For the group in the second external organization: Still on the Enter details tab, type the email address of the group in the organization's tenant. Örneğin, sales@contoso.com.For example, sales@contoso.com.

    • Bir Azure AD hesabı sahip olmayan kullanıcı için: Hala ayrıntıları girin sekmesinde, kullanıcının e-posta adresini yazın.For the user who doesn't have an Azure AD account: Still on the Enter details tab, type the user's email address. Örneğin, bengi.turan@gmail.com.For example, bengi.turan@gmail.com.

  4. Bu kullanıcılar için aynı izinleri vermek için: İçin önceden ayarlanmış izinleri seçinseçin ikincil sahip, ortak Yazar, Gözden Geçiren, veya özelvermek istediğiniz izinleri seçin.To grant the same permissions to all these users: For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    Örneğin, yapılandırılmış izinlerinizi aşağıdakine benzeyebilir:For example, your configured permissions might look similar to the following:

    Güvenli işbirliği için izinleri yapılandırma

  5. Tıklayın Tamam üzerinde izinleri eklemek dikey penceresi.Click OK on the Add permissions blade.

  6. Üzerinde koruma dikey penceresinde tıklayın Tamam.On the Protection blade, click OK.

  7. Üzerinde etiket dikey penceresinde Kaydet.On the Label blade, select Save.

Güvenli işbirliğini destekleyen etiket uygulamaApplying the label that supports secure collaboration

Bu etiket yapılandırdınız, aşağıdakileri içeren çeşitli yollarla belgelerde uygulanabilir:Now that this label is configured, it can be applied to documents in a number of ways that include the following:

Etiket uygulamak için farklı yollarDifferent ways to apply the label Daha fazla bilgiMore information
Office uygulamalarını belge oluştururken bir kullanıcı etiketi el ile seçer.A user manually selects the label when the document is created in their Office application. Kullanıcılar etiketten koru Office Şerit'te veya Azure Information Protection çubuğunda düğme.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar.
Kullanıcılar, yeni bir Belge kaydedildiğinde bir etiket seçmesi istenir.Users are prompted to select a label when a new document is saved. Azure Information Protection'ı yapılandırdınız ilke ayarı adlı tüm belgeler ve e-postalar bir etikete sahip olmalıdır.You've configured the Azure Information Protection policy setting named All documents and emails must have a label.
Bir kullanıcı belgeyi e-postayla paylaşsa ve etiket Outlook'ta el ile seçer.A user shares the document by email and manually selects the label in Outlook. Kullanıcılar etiketten koru düğmesi Office Şerit'te veya Azure Information Protection çubuğunu ve ekli belgeyi aynı ayarlarla otomatik olarak korunur.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar, and the attached document is automatically protected with the same settings.
Bir yönetici, PowerShell kullanarak, belgeye etiketi uygular.An administrator applies the label to the document by using PowerShell. Kullanım Set-Aıpfilelabel belirli bir belge veya bir klasördeki tüm belgeler etiket uygulamak için cmdlet'i.Use the Set-AIPFileLabel cmdlet to apply the label to a specific document or all documents in a folder.
Ayrıca, artık Azure Information Protection ilkesini veya PowerShell kullanarak uygulanabilir otomatik sınıflandırma uygulamak için etiket yapılandırdınız.You have additionally configured the label to apply automatic classification that can now be applied by using the Azure Information Protection scanner, or PowerShell. Bkz: Azure Information Protection için otomatik ve önerilen sınıflandırma koşullarını yapılandırma.See How to configure conditions for automatic and recommended classification for Azure Information Protection.

Bu izlenecek yolu tamamlamak için belgeyi Office uygulamanızda oluşturduğunuzda etiket el ile uygulayın:To complete this walkthrough, manually apply the label when you create the document in your Office application:

  1. Bir istemci bilgisayarda açın, Office uygulaması zaten varsa önce kapatıp yeni yapılandırılan etiket içeren en son ilke değişiklikleri almak için.On a client computer, if you already have your Office application open, first close and reopen it to get the latest policy changes that include your newly configured label.

  2. Belgeye etiketi uygulamak ve kaydedin.Apply the label to a document, and save it.

Korumalı belgeyi bir e-posta ve kişiler için belgeyi düzenlemek için yetkili gönderme ekleyerek paylaşın.Share the protected document by attaching it to an email, and send it to the people you authorized to edit the document.

Açma ve korumalı belgeyi düzenlemeOpening and editing the protected document

Yetkili kullanıcıların düzenlemek için belgeyi açtığında, belge izinleri sınırlı olduğunu bildiren bir bilgi başlığı ile açılır.When users that you authorized open the document for editing, the document opens with an information banner that informs them that permissions are restricted. Örneğin:For example:

Azure Information Protection izinleri örnek bilgi başlığı

Bunlar seçerseniz görüntüleme iznine düğmesi görürler sahip oldukları izinleri.If they select the View Permission button, they see the permissions that they have. Aşağıdaki örnekte, kullanıcı görüntüleyebilir ve belgeyi düzenleyin:In the following example, the user can view and edit the document:

Azure Information Protection izinler iletişim kutusu örneği

Not: Ayrıca Azure Information Protection kullanan dış kullanıcılar tarafından belge açıldığında, herhangi bir görsel işaretler etiketten kalır ancak Office uygulaması, sınıflandırma etiketi belge görüntülemez.Note: If the document is opened by external users who are also using Azure Information Protection, the Office application does not display your classification label for the document, although any visual markings from the label remain. Bunun yerine, dış kullanıcılar, kuruluşun sınıflandırma sınıflandırma ayarlarına uygun olarak kendi etiket uygulayabilirsiniz.Instead, external users can apply their own label in line with their organization's classification taxonomy. Bu dış kullanıcılar daha sonra yeniden düzenlenen belge gönderebilir, Office belge yeniden açtığınızda, özgün sınıflandırma etiketini görüntüler.If these external users then send back the edited document to you, Office displays your original classification label when you reopen the document.

Korumalı belgeyi açılmadan önce aşağıdaki kimlik doğrulama biri sorun akar:Before the protected document opens, one of the following authentication flows happen:

  • Bir Azure AD hesabı olan kullanıcılar için Azure AD tarafından doğrulanmasını kendi Azure AD kimlik kullandıkları ve belge açılır.For the users who have an Azure AD account, they use their Azure AD credentials to be authenticated by Azure AD, and the document opens.

  • Bunlar için Office görürler belgeyi açmak için izinleri olan bir hesapla oturum açmış değil bir Azure AD hesabı yok kullanıcı hesapları sayfası.For the user who doesn't have an Azure AD account, if they are not signed in to Office with an account that has permissions to open the document, they see the Accounts page.

    Üzerinde hesapları sayfasında hesabı Ekle:On the Accounts page, select Add Account:

    Korumalı belgeyi açabilmek için bir Microsoft hesabı ekleme

    Üzerinde oturum sayfasında oluşturun!On the Sign in page, select Create one! ve izinleri vermek için kullanılan e-posta adresi ile yeni bir Microsoft hesabı oluşturmak için istemleri izleyin:and follow the prompts to create a new Microsoft account with the email address that was used to grant the permissions:

    Korumalı belgeyi açabilmek için bir Microsoft hesabı oluşturma

    Yeni bir Microsoft hesabı oluşturulduğunda, bu yeni bir Microsoft hesabı için yerel hesap anahtarları ve kullanıcı sonra belgeyi açın.When the new Microsoft account is created, the local account switches to this new Microsoft account and the user can then open the document.

Korumalı belgeleri açmak için desteklenen senaryolarSupported scenarios for opening protected documents

Aşağıdaki tablo özetlerini görüntüleme ve düzenleme için desteklenen farklı kimlik doğrulama yöntemlerini korunan belgeleri.The following table summaries the different authentication methods that are supported for viewing and editing protected documents.

Ayrıca, yazdırılan belgeleri görüntülemenin aşağıdaki senaryoları destekler:In addition, the following scenarios support viewing documents:

  • Azure Information Protection Görüntüleyicisi, Windows ve iOS ve Android için Microsoft hesabı kullanarak dosyaları açabilirsiniz.The Azure Information Protection viewer for Windows, and for iOS and Android can open files by using a Microsoft account.

  • Sosyal medya sağlayıcıları ve bir kerelik geçiş kodlarını kimlik doğrulaması ile Exchange Online ve Office 365 ileti şifreleme dışında yeni özellikler için kullanıldığında, bir tarayıcı korumalı ekler açabilirsiniz.A browser can open protected attachments when social providers and one-time passcodes are used for authentication with Exchange Online and the new capabilities from Office 365 Message Encryption.

Belgeleri görüntülemek ve düzenlemek için platformlar:Platforms for viewing and editing documents:
Word, Excel, PowerPointWord, Excel, PowerPoint
Kimlik doğrulama yöntemi:Authentication method:
Azure ADAzure AD
Kimlik doğrulama yöntemi:Authentication method:
Microsoft hesabıMicrosoft account
WindowsWindows Evet [1]Yes [1] Evet [2]Yes [2]
iOSiOS Evet [1]Yes [1] HayırNo
AndroidAndroid Evet [1]Yes [1] HayırNo
MacOSMacOS Evet [1]Yes [1] HayırNo
Dipnot 1Footnote 1

Kullanıcı hesaplarını, e-posta özellikli gruplar, tüm üyeleri destekler.Supports user accounts, email-enabled groups, all members. Konuk hesapları, kullanıcı hesapları ve e-posta özellikli gruplar içerebilir.User accounts and email-enabled groups can include guest accounts. Tüm üyeleri hariç tut Konuk hesapları.All members exclude guest accounts.

Dipnot 2Footnote 2

Office 365 uygulamaları tarafından (Tıkla-Çalıştır) yalnızca şu anda desteklenmiyor.Currently supported by Office 365 apps (Click-to-Run) only.

Sonraki adımlarNext steps

Diğerini gör örnek yapılandırma sık karşılaşılan senaryolara yönelik korumayı uygulamak etiketler.See other example configurations for labels to apply protection for common scenarios. Bu makale, aynı zamanda koruma ayarları hakkında daha fazla ayrıntı içerir.This article also contains more details about the protection settings.

Diğer seçenekler ve etiketiniz için yapılandırabileceğiniz ayarlar hakkında daha fazla bilgi için bkz: Azure Information Protection ilkesini yapılandırma.For more information about the other options and settings that you can configure for your label, see Configuring Azure Information Protection policy.

Bu makalede yapılandırılan etiket koruma şablonu aynı adla da oluşturur.The label that was configured in this article also creates a protection template by the same name. Koruma şablonları Azure Information Protection ile tümleştirme, uygulamalar ve hizmetler varsa, bunlar bu şablonu uygulayabilirsiniz.If you have applications and services that integrate with protection templates from Azure Information Protection, they can apply this template. Örneğin, DLP çözümleri ve posta akışı kuralları.For example, DLP solutions and mail flow rules. Web üzerinde Outlook'u Azure Information Protection genel ilkeden alınan koruma şablonları otomatik olarak görüntüler.Outlook on the web automatically displays protection templates from the Azure Information Protection global policy.