Vanliga frågor och svar om dataskydd i Azure Information Protection
Har du en fråga om dataskyddstjänsten Azure Rights Management från Azure Information Protection? Se om det besvaras här.
Måste filer finnas i molnet för att skyddas av Azure Rights Management?
Nej, det här är en vanlig missuppfattning. Azure Rights Management-tjänsten (och Microsoft) ser eller lagrar inte dina data som en del av informationsskyddsprocessen. Information som du skyddar skickas aldrig till eller lagras i Azure om du inte uttryckligen lagrar den i Azure eller använder en annan molntjänst som lagrar den i Azure.
Mer information finns i Hur fungerar Azure RMS? Under huven för att förstå hur en hemlig colaformel som skapas och lagras lokalt skyddas av Azure Rights Management-tjänsten men förblir lokal.
Vad är skillnaden mellan Azure Rights Management-kryptering och kryptering i andra Microsoft-molntjänster?
Microsoft tillhandahåller flera krypteringstekniker som gör att du kan skydda dina data för olika och ofta kompletterande scenarier. Medan Microsoft 365 till exempel erbjuder kryptering i vila för data som lagras i Microsoft 365 krypterar Azure Rights Management-tjänsten från Azure Information Protection dina data oberoende så att de skyddas oavsett var de finns eller hur de överförs.
Dessa krypteringstekniker kompletterar varandra och om du använder dem måste du aktivera och konfigurera dem oberoende av varandra. När du gör det kan du ha möjlighet att ta med din egen nyckel för krypteringen, ett scenario som även kallas "BYOK". Att aktivera BYOK för någon av dessa tekniker påverkar inte de andra. Du kan till exempel använda BYOK för Azure Information Protection och inte använda BYOK för andra krypteringstekniker och vice versa. De nycklar som används av dessa olika tekniker kan vara samma eller olika beroende på hur du konfigurerar krypteringsalternativen för varje tjänst.
Kan jag nu använda BYOK med Exchange Online?
Ja, du kan nu använda BYOK med Exchange Online när du följer anvisningarna i Konfigurera nya microsoft 365-meddelandekrypteringsfunktioner som bygger på Azure Information Protection. De här anvisningarna aktiverar de nya funktionerna i Exchange Online som stöder användning av BYOK för Azure Information Protection samt den nya Office 365-meddelandekryptering.
Mer information om den här ändringen finns i blogginlägget: Office 365-meddelandekryptering med de nya funktionerna
Finns det ett hanteringspaket eller liknande övervakningsmekanism för RMS-anslutningstjänsten?
Även om Rights Management-anslutningsappen loggar information, varningar och felmeddelanden i händelseloggen finns det inget hanteringspaket som innehåller övervakning för dessa händelser. Listan över händelser och deras beskrivningar, med mer information som hjälper dig att vidta korrigerande åtgärder, dokumenteras dock i Övervaka Microsoft Rights Management-anslutningsappen.
Hur skapar jag en ny anpassad mall i Azure-portalen?
Anpassade mallar har flyttats till Azure-portalen där du kan fortsätta att hantera dem som mallar eller konvertera dem till etiketter. Skapa en ny mall genom att skapa en ny etikett och konfigurera dataskyddsinställningarna för Azure RMS. Under täcket skapar detta en ny mall som sedan kan nås av tjänster och program som integreras med Rights Management-mallar.
Mer information om mallar i Azure-portalen finns i Konfigurera och hantera mallar för Azure Information Protection.
Jag har skyddat ett dokument och vill nu ändra användningsrättigheterna eller lägga till användare – behöver jag återaktivera skyddet av dokumentet?
Om dokumentet har skyddats med hjälp av en etikett eller mall behöver du inte skydda dokumentet igen. Ändra etiketten eller mallen genom att göra dina ändringar i användningsrättigheterna eller lägga till nya grupper (eller användare) och spara sedan dessa ändringar:
När en användare inte har använt dokumentet innan du har gjort ändringarna börjar ändringarna gälla så snart användaren öppnar dokumentet.
När en användare redan har använt dokumentet träder dessa ändringar i kraft när deras användningslicens upphör att gälla. Skydda dokumentet igen endast om du inte kan vänta tills användningslicensen upphör att gälla. Återaktivering av skydd skapar effektivt en ny version av dokumentet och därför en ny användningslicens för användaren.
Om du redan har konfigurerat en grupp för de behörigheter som krävs kan du ändra gruppmedlemskapet så att det inkluderar eller exkluderar användare och du behöver inte ändra etiketten eller mallen. Det kan uppstå en liten fördröjning innan ändringarna träder i kraft eftersom gruppmedlemskapet cachelagras av Azure Rights Management-tjänsten.
Om dokumentet har skyddats med anpassade behörigheter kan du inte ändra behörigheterna för det befintliga dokumentet. Du måste skydda dokumentet igen och ange alla användare och alla användningsrättigheter som krävs för den nya versionen av dokumentet. Om du vill återaktivera skyddet av ett skyddat dokument måste du ha behörigheten Fullständig kontroll.
Tips: Om du vill kontrollera om ett dokument har skyddats av en mall eller med hjälp av anpassad behörighet använder du PowerShell-cmdleten Get-AIPFileStatus . Du ser alltid en mallbeskrivning av Begränsad åtkomst för anpassade behörigheter med ett unikt mall-ID som inte visas när du kör Get-RMSTemplate.
Jag har en hybriddistribution av Exchange med vissa användare på Exchange Online och andra på Exchange Server – stöds detta av Azure RMS?
Absolut, och det fina är att användarna smidigt kan skydda och använda skyddade e-postmeddelanden och bifogade filer i de två Exchange-distributionerna. För den här konfigurationen aktiverar du Azure RMS och aktiverar IRM för Exchange Online och distribuerar och konfigurerar sedan RMS-anslutningstjänsten för Exchange Server.
Om jag använder det här skyddet för min produktionsmiljö, är mitt företag sedan låst i lösningen eller riskerar att förlora åtkomsten till innehåll som vi har skyddat med Azure RMS?
Nej, du har alltid kontroll över dina data och kan fortsätta att komma åt dem, även om du bestämmer dig för att inte längre använda Azure Rights Management-tjänsten. Mer information finns i Inaktivera och inaktivera Azure Rights Management.
Kan jag styra vilka av mina användare som kan använda Azure RMS för att skydda innehåll?
Ja, Azure Rights Management-tjänsten har användar onboarding-kontroller för det här scenariot. Mer information finns i avsnittet Konfigurera onboarding-kontroller för en stegvis distribution i artikeln Aktivera skyddstjänsten från Azure Information Protection .
Kan jag hindra användare från att dela skyddade dokument med specifika organisationer?
En av de största fördelarna med att använda Azure Rights Management-tjänsten för dataskydd är att den stöder samarbete mellan företag utan att du behöver konfigurera explicita förtroenden för varje partnerorganisation, eftersom Microsoft Entra ID tar hand om autentiseringen åt dig.
Det finns inget administrationsalternativ för att hindra användare från att dela dokument på ett säkert sätt med specifika organisationer. Du vill till exempel blockera en organisation som du inte litar på eller som har ett konkurrerande företag. Att förhindra att Azure Rights Management-tjänsten skickar skyddade dokument till användare i dessa organisationer skulle inte vara meningsfullt eftersom användarna sedan skulle dela sina dokument oskyddade, vilket förmodligen är det sista du vill ska hända i det här scenariot. Du skulle till exempel inte kunna identifiera vem som delar företagshemliga dokument med vilka användare i dessa organisationer, vilket du kan göra när dokumentet (eller e-postmeddelandet) skyddas av Azure Rights Management-tjänsten.
Hur autentiseras den användaren när jag delar ett skyddat dokument med någon utanför mitt företag?
Som standard använder Azure Rights Management-tjänsten ett Microsoft Entra-konto och en associerad e-postadress för användarautentisering, vilket gör samarbete mellan företag sömlöst för administratörer. Om den andra organisationen använder Azure-tjänster har användarna redan konton i Microsoft Entra-ID, även om dessa konton skapas och hanteras lokalt och sedan synkroniseras till Azure. Om organisationen har Microsoft 365, under täcket, använder den här tjänsten även Microsoft Entra-ID för användarkontona. Om användarens organisation inte har hanterade konton i Azure kan användarna registrera sig för RMS för enskilda användare, vilket skapar en ohanterad Azure-klient och katalog för organisationen med ett konto för användaren, så att den här användaren (och efterföljande användare) sedan kan autentiseras för Azure Rights Management-tjänsten.
Autentiseringsmetoden för dessa konton kan variera beroende på hur administratören i den andra organisationen har konfigurerat Microsoft Entra-kontona. De kan till exempel använda lösenord som har skapats för dessa konton, federationer eller lösenord som har skapats i Usluge domena aktivnog direktorijuma och sedan synkroniserats med Microsoft Entra-ID.
Andra autentiseringsmetoder:
Om du skyddar ett e-postmeddelande med en bifogad Office-dokumentbilaga till en användare som inte har något konto i Microsoft Entra-ID ändras autentiseringsmetoden. Azure Rights Management-tjänsten är federerad med några populära leverantörer av sociala identiteter, till exempel Gmail. Om användarens e-postleverantör stöds kan användaren logga in på tjänsten och deras e-postleverantör ansvarar för att autentisera dem. Om användarens e-postprovider inte stöds, eller som en inställning, kan användaren ansöka om ett engångslösenord som autentiserar dem och visar e-postmeddelandet med det skyddade dokumentet i en webbläsare.
Azure Information Protection kan använda Microsoft-konton för program som stöds. För närvarande kan inte alla program öppna skyddat innehåll när ett Microsoft-konto används för autentisering. Mer information
Kan jag lägga till externa användare (personer utanför mitt företag) till anpassade mallar?
Ja. Med de skyddsinställningar som du kan konfigurera i Azure-portalen kan du lägga till behörigheter för användare och grupper utanför organisationen, och även alla användare i en annan organisation. Det kan vara bra att referera till det stegvisa exemplet, Skydda dokumentsamarbete med hjälp av Azure Information Protection.
Observera att om du har Azure Information Protection-etiketter måste du först konvertera din anpassade mall till en etikett innan du kan konfigurera dessa skyddsinställningar i Azure-portalen. Mer information finns i Konfigurera och hantera mallar för Azure Information Protection.
Du kan också lägga till externa användare i anpassade mallar (och etiketter) med hjälp av PowerShell. Den här konfigurationen kräver att du använder ett rättighetsdefinitionsobjekt som du använder för att uppdatera mallen:
Ange de externa e-postadresserna och deras rättigheter i ett rättighetsdefinitionsobjekt genom att använda cmdleten New-AipServiceRightsDefinition för att skapa en variabel.
Ange den här variabeln till parametern RightsDefinition med cmdleten Set-AipServiceTemplateProperty .
När du lägger till användare i en befintlig mall måste du definiera rättighetsdefinitionsobjekt för befintliga användare i mallarna, utöver de nya användarna. I det här scenariot kan du hitta användbart exempel 3: Lägg till nya användare och rättigheter till en anpassad mall från avsnittet Exempel för cmdleten.
Vilken typ av grupper kan jag använda med Azure RMS?
I de flesta scenarier kan du använda valfri grupptyp i Microsoft Entra-ID som har en e-postadress. Den här tumregeln gäller alltid när du tilldelar användningsrättigheter, men det finns vissa undantag för att administrera Azure Rights Management-tjänsten. Mer information finns i Krav för Azure Information Protection för gruppkonton.
Hur skickar jag ett skyddat e-postmeddelande till ett Gmail- eller Hotmail-konto?
När du använder Exchange Online och Azure Rights Management-tjänsten skickar du bara e-postmeddelandet till användaren som ett skyddat meddelande. Du kan till exempel välja den nya knappen Skydda i kommandofältet i Outlook på webben, använda knappen Eller menyalternativet Vidarebefordra inte i Outlook. Eller så kan du välja en Azure Information Protection-etikett som automatiskt tillämpar Vidarebefordra inte åt dig och klassificerar e-postmeddelandet.
Mottagaren ser ett alternativ för att logga in på sitt Gmail-, Yahoo- eller Microsoft-konto och kan sedan läsa det skyddade e-postmeddelandet. Alternativt kan de välja alternativet för ett engångslösenord för att läsa e-postmeddelandet i en webbläsare.
För att stödja det här scenariot måste Exchange Online vara aktiverat för Azure Rights Management-tjänsten och de nya funktionerna i Office 365-meddelandekryptering. Mer information om den här konfigurationen finns i Exchange Online: IRM-konfiguration.
Mer information om de nya funktionerna som omfattar stöd för alla e-postkonton på alla enheter finns i följande blogginlägg: Meddelande om nya funktioner som är tillgängliga i Office 365-meddelandekryptering.
Vilka enheter och vilka filtyper stöds av Azure RMS?
Azure Rights Management-tjänsten kan stödja alla filtyper. För text-, bild-, Microsoft kancelarija-filer (Word, Excel, PowerPoint), .pdf filer och andra programfiltyper ger Azure Rights Management inbyggt skydd som omfattar både kryptering och tillämpning av rättigheter (behörigheter). För alla andra program och filtyper ger generiskt skydd filinkapsling och autentisering för att kontrollera om en användare har behörighet att öppna filen.
En lista över filnamnstillägg som stöds internt av Azure Rights Management finns i Filtyper som stöds av Azure Information Protection-klienten. Filnamnstillägg som inte visas stöds med hjälp av Azure Information Protection-klienten som automatiskt tillämpar allmänt skydd på dessa filer.
När jag öppnar ett RMS-skyddat Office-dokument blir även den associerade temporära filen RMS-skyddad?
Nej. I det här scenariot innehåller den associerade temporära filen inte data från det ursprungliga dokumentet, utan endast det som användaren anger när filen är öppen. Till skillnad från den ursprungliga filen är den tillfälliga filen uppenbarligen inte utformad för delning och skulle finnas kvar på enheten, skyddad av lokala säkerhetskontroller, till exempel BitLocker och EFS.
En funktion som jag letar efter verkar inte fungera med SharePoint-skyddade bibliotek – är stödet för min funktion planerat?
För närvarande stöder Microsoft SharePoint RMS-skyddade dokument med hjälp av IRM-skyddade bibliotek, som inte stöder Rights Management-mallar, dokumentspårning och vissa andra funktioner. Mer information finns i avsnittet SharePoint i Microsoft 365 och SharePoint Server i artikeln aplikacija Office och tjänster.
Om du är intresserad av en specifik funktion som ännu inte stöds bör du hålla ett öga på meddelanden på Enterprise Mobility and Security-bloggen.
Hur konfigurerar jag En enhet i SharePoint så att användarna på ett säkert sätt kan dela sina filer med personer inom och utanför företaget?
Som standard konfigurerar du inte detta som Microsoft 365-administratör. användare gör det.
Precis som en SharePoint-webbplatsadministratör aktiverar och konfigurerar IRM för ett SharePoint-bibliotek som de äger, är OneDrive utformat för att användare ska kunna aktivera och konfigurera IRM för sitt eget OneDrive-bibliotek. Men genom att använda PowerShell kan du göra detta åt dem. Anvisningar finns i SharePoint i Microsoft 365 och OneDrive: IRM-konfiguration.
Har du några tips eller knep för en lyckad distribution?
Efter att ha övervakat många distributioner och lyssnat på våra kunder, partner, konsulter och supporttekniker – ett av de största tipsen vi kan förmedla från erfarenhet: Utforma och distribuera enkla principer.
Eftersom Azure Information Protection har stöd för att dela på ett säkert sätt med vem som helst har du råd att vara ambitiös med din dataskydds räckvidd. Men var försiktig när du konfigurerar begränsningar för rättighetsanvändning. För många organisationer kommer den största affärspåverkan från att förhindra dataläckage genom att begränsa åtkomsten till personer i din organisation. Naturligtvis kan du få mycket mer detaljerad än så om du behöver - förhindra människor från att skriva ut, redigera etc. Men behåll de mer detaljerade begränsningarna som undantag för dokument som verkligen behöver hög säkerhet och implementera inte dessa mer restriktiva användningsrättigheter på dag ett, utan planera för en mer stegvis metod.
Hur får vi åtkomst till filer som har skyddats av en anställd som nu har lämnat organisationen?
Använd superanvändarfunktionen, som ger fullständiga behörigheter till behöriga användare för alla dokument och e-postmeddelanden som skyddas av din klientorganisation. Superanvändare kan alltid läsa det här skyddade innehållet och vid behov ta bort skyddet eller återaktivera skyddet för olika användare. Med samma funktion kan auktoriserade tjänster indexeras och inspekteras efter behov.
Om innehållet lagras i SharePoint eller OneDrive kan administratörer köra cmdleten Unlock-SensitivityLabelEncryptedFile för att ta bort både känslighetsetiketten och krypteringen. Mer information finns i Microsoft 365-dokumentationen.
Kan Rights Management förhindra skärmdumpar?
Genom att inte bevilja kopieringsanvändningsrätt kan Rights Management förhindra skärmdumpar från många av de vanliga skärmdumpsverktygen på Windows-plattformar (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile och Windows 11). IOS-, Mac- och Android-enheter tillåter dock inte att någon app förhindrar skärmdumpar. Dessutom kan webbläsare på en enhet inte förhindra skärmdumpar. Webbläsaranvändning omfattar Outlook na vebu och Office za veb.
Kommentar
Nu lanseras den aktuella kanalen (förhandsversion): i Office för Mac, Word, Excel och PowerPoint (men inte Outlook) stöds nu rättigheten rights management-användning för att förhindra skärmdumpar.
Att förhindra skärmdumpar kan bidra till att undvika oavsiktligt eller försumligt avslöjande av konfidentiell eller känslig information. Men det finns många sätt som en användare kan dela data som visas på en skärm, och att ta en skärmbild är bara en metod. Till exempel kan en användare som vill dela visad information ta en bild av den med hjälp av sin kameratelefon, skriva om data eller helt enkelt verbalt vidarebefordra dem till någon.
Som dessa exempel visar, även om alla plattformar och all programvara har stöd för Rights Management-API:erna för att blockera skärmdumpar, kan enbart teknik inte alltid hindra användare från att dela data som de inte borde. Rights Management kan hjälpa dig att skydda viktiga data med hjälp av auktoriserings- och användningsprinciper, men den här lösningen för hantering av företagsrättigheter bör användas med andra kontroller. Implementera till exempel fysisk säkerhet, övervaka och övervaka personer som har auktoriserad åtkomst till organisationens data och investera i användarutbildning så att användarna förstår vilka data som inte ska delas.
Vad är skillnaden mellan en användare som skyddar ett e-postmeddelande med Vidarebefordra inte och en mall som inte innehåller rättigheten Vidarebefordra?
Trots dess namn och utseende är Vidarebefordra inte inte motsatsen till höger framåt eller en mall. Det är faktiskt en uppsättning rättigheter som omfattar att begränsa kopiering, utskrift och spara e-post utanför postlådan, förutom att begränsa vidarebefordran av e-postmeddelanden. Rättigheterna tillämpas dynamiskt på användare via de valda mottagarna och tilldelas inte statiskt av administratören. Mer information finns i avsnittet Vidarebefordra inte alternativet för e-postmeddelanden i Konfigurera användningsrättigheter för Azure Information Protection.
Vad är skillnaden mellan Windows Server FCI och Azure Information Protection-skannern?
Windows Server-filklassificeringsinfrastrukturen har historiskt sett varit ett alternativ för att klassificera dokument och sedan skydda dem med hjälp av Rights Management-anslutningsappen (endast Office-dokument) eller ett PowerShell-skript (alla filtyper).
Vi rekommenderar nu att du använder Azure Information Protection-skannern. Skannern använder Azure Information Protection-klienten och din Azure Information Protection-princip för att märka dokument (alla filtyper) så att dessa dokument sedan klassificeras och eventuellt skyddas.
De största skillnaderna mellan dessa två lösningar:
Windows Server FCI | Azure Information Protection-skanner | |
---|---|---|
Datalager som stöds | Lokala mappar på Windows Server | – Windows-filresurser och nätverksansluten lagring – SharePoint Server 2016 och SharePoint Server 2013. SharePoint Server 2010 stöds också för kunder som har utökad support för den här versionen av SharePoint. |
Driftläge | Realtid | Crawlar systematiskt datalager en eller flera gånger |
Filtyper som stöds | – Alla filtyper skyddas som standard – Specifika filtyper kan undantas från skydd genom att redigera registret |
Stöd för filtyper: – Office-filtyper och PDF-dokument skyddas som standard – Ytterligare filtyper kan inkluderas för skydd genom att redigera registret |