Kullanıcıları ve grupları Azure Information Protection için hazırlama

Not

Eski adı Microsoft Information Protection (MIP) olan Microsoft Purview Bilgi Koruması mi arıyorsunuz?

Azure Information Protection eklentisi kullanımdan kaldırılır ve microsoft 365 uygulama ve hizmetlerinizde yerleşik olarak bulunan etiketlerle değiştirilir. Diğer Azure Information Protection bileşenlerinin destek durumu hakkında daha fazla bilgi edinin.

Microsoft Purview Bilgi Koruması istemcisi (eklenti olmadan) genel olarak kullanılabilir.

Kuruluşunuz için Azure Information Protection'ı dağıtmadan önce, kuruluşunuzun kiracısı için Microsoft Entra Id'de kullanıcılar ve gruplar için hesaplarınız olduğundan emin olun.

Kullanıcılar ve gruplar için bu hesapları oluşturmanın farklı yolları vardır ve bunlar şunlardır:

  • Kullanıcıları Microsoft 365 yönetim merkezi ve grupları Exchange Online yönetim merkezinde oluşturursunuz.

  • Kullanıcıları ve grupları Azure portalında oluşturursunuz.

  • Azure AD PowerShell ve Exchange Online cmdlet'lerini kullanarak kullanıcıları ve grubu oluşturursunuz.

  • kullanıcıları ve grupları şirket içi Active Directory oluşturur ve Bunları Microsoft Entra Kimliği ile eşitlersiniz.

  • Kullanıcıları ve grupları başka bir dizinde oluşturur ve Bunları Microsoft Entra Id ile eşitlersiniz.

Bu listedeki ilk üç yöntemi kullanarak kullanıcı ve grup oluşturduğunuzda, tek bir özel durum dışında, bunlar Microsoft Entra Id'de otomatik olarak oluşturulur ve Azure Information Protection bu hesapları doğrudan kullanabilir. Ancak birçok kurumsal ağ, kullanıcı ve grup oluşturmak ve yönetmek için şirket içi bir dizin kullanır. Azure Information Protection bu hesapları doğrudan kullanamaz; bunları Microsoft Entra Id ile eşitlemeniz gerekir.

Önceki paragrafta başvuruda bulunulan özel durum, Exchange Online için oluşturabileceğiniz dinamik dağıtım listeleridir. Statik dağıtım listelerinin aksine, bu gruplar Microsoft Entra Id'ye çoğaltılmaz ve bu nedenle Azure Information Protection tarafından kullanılamaz.

Kullanıcılar ve gruplar Azure Information Protection tarafından nasıl kullanılır?

Azure Information Protection ile kullanıcıları ve grupları kullanmak için üç senaryo vardır:

Azure Information Protection ilkesini belgelere ve e-postalara uygulanabilecek şekilde yapılandırırken kullanıcılara etiket atamak için. Yalnızca yöneticiler şu kullanıcıları ve grupları seçebilir:

  • Varsayılan Azure Information Protection ilkesi, kiracınızın Microsoft Entra Kimliği'ndeki tüm kullanıcılara otomatik olarak atanır. Ancak, kapsamı belirlenmiş ilkeleri kullanarak belirtilen kullanıcılara veya gruplara ek etiketler de atayabilirsiniz.

Belgeleri ve e-postaları korumak için Azure Rights Management hizmetini kullanırken kullanım hakları ve erişim denetimleri atamak için. Yönetici istrator'lar ve kullanıcılar şu kullanıcıları ve grupları seçebilir:

  • Kullanım hakları, kullanıcının belgeyi veya e-postayı açıp açamayacağını ve nasıl kullanabileceğini belirler. Örneğin, yalnızca okuyabilecekleri, okuyup yazdırabilecekleri ya da okuyup düzenleyebilecekleri.

  • Erişim denetimleri bir süre sonu tarihi ve erişim için İnternet bağlantısı gerekip gerekmediğini içerir.

Azure Rights Management hizmetini belirli senaryoları destekleyecek şekilde yapılandırmak ve dolayısıyla bu grupları yalnızca yöneticiler seçmek için. Örnek olarak aşağıdakileri yapılandırma verilebilir:

  • Süper kullanıcılar, böylece belirlenen hizmetler veya kişiler eKeşif veya veri kurtarma için gerekirse şifrelenmiş içerik açabilir.

  • Azure Rights Management hizmetinin temsilci yönetimi.

  • Aşamalı dağıtımı desteklemek için ekleme denetimleri.

Kullanıcı hesapları için Azure Information Protection gereksinimleri

Etiket atamak için:

  • Microsoft Entra Id içindeki tüm kullanıcı hesapları, kullanıcılara ek etiketler atayan kapsamlı ilkeleri yapılandırmak için kullanılabilir.

Kullanım hakları ve erişim denetimleri atamak ve Azure Rights Management hizmetini yapılandırmak için:

  • Kullanıcıları yetkilendirmek için, Microsoft Entra Id'de iki öznitelik kullanılır: proxyAddresses ve userPrincipalName.

  • Microsoft Entra proxyAddresses özniteliği bir hesabın tüm e-posta adreslerini depolar ve farklı şekillerde doldurulabilir. Örneğin, Microsoft 365'te Exchange Online posta kutusu olan bir kullanıcının otomatik olarak bu öznitelikte depolanan bir e-posta adresi vardır. Microsoft 365 kullanıcısı için alternatif bir e-posta adresi atarsanız, bu e-posta adresi de bu öznitelikte kaydedilir. Şirket içi hesaplardan eşitlenen e-posta adresleriyle de doldurulabilir.

    Azure Information Protection, bu Microsoft Entra proxyAddresses özniteliğindeki herhangi bir değeri kullanabilir ve etki alanının kiracınıza ("doğrulanmış etki alanı") eklenmesini sağlayabilir. Etki alanlarını doğrulama hakkında daha fazla bilgi için:

  • Microsoft Entra userPrincipalName özniteliği yalnızca kiracınızdaki bir hesabın Microsoft Entra proxyAddresses özniteliğinde değerleri olmadığında kullanılır. Örneğin, Azure portalında bir kullanıcı oluşturursunuz veya Microsoft 365 için posta kutusu olmayan bir kullanıcı oluşturursunuz.

Dış kullanıcılara kullanım hakkı ve erişim denetimi atama

Azure Information Protection, kiracınızdaki kullanıcılar için Microsoft Entra proxyAddresses ve Microsoft Entra userPrincipalName kullanmalarına ek olarak, bu öznitelikleri başka bir kiracıdaki kullanıcıları yetkilendirmek için de aynı şekilde kullanır.

Diğer yetkilendirme yöntemleri:

  • Microsoft Entra Id içinde olmayan e-posta adresleri için, Azure Information Protection bir Microsoft hesabıyla kimlik doğrulaması yapıldığında bunları yetkileyebilir. Ancak, kimlik doğrulaması için bir Microsoft hesabı kullanıldığında tüm uygulamalar korumalı içeriği açamayabilir. Daha fazla bilgi

  • Microsoft Entra Id'de hesabı olmayan bir kullanıcıya yeni özelliklerle Office 365 İleti Şifrelemesi kullanılarak bir e-posta gönderildiğinde, kullanıcının kimliği ilk olarak bir sosyal kimlik sağlayıcısıyla federasyon kullanılarak veya tek seferlik geçiş kodu kullanılarak doğrulanır. Ardından, kullanıcıyı yetkilendirmek için korumalı e-postada belirtilen e-posta adresi kullanılır.

Grup hesapları için Azure Information Protection gereksinimleri

Etiket atamak için:

  • Grup üyelerine ek etiketler atayan kapsamlı ilkeleri yapılandırmak için, Microsoft Entra Id'de kullanıcının kiracısı için doğrulanmış bir etki alanı içeren bir e-posta adresine sahip olan herhangi bir grup türünü kullanabilirsiniz. E-posta adresi olan bir grup genellikle posta etkin grup olarak adlandırılır.

    Örneğin, posta özellikli bir güvenlik grubu, statik dağıtım grubu ve bir Microsoft 365 grubu kullanabilirsiniz. Bu grup türünün e-posta adresi olmadığından bir güvenlik grubu (dinamik veya statik) kullanamazsınız. Bu grup Microsoft Entra Id'ye çoğaltılamadığından Exchange Online'dan dinamik dağıtım listesi de kullanamazsınız.

Kullanım hakları ve erişim denetimleri atamak için:

  • Microsoft Entra Id'de kullanıcının kiracısı için doğrulanmış etki alanı içeren bir e-posta adresine sahip olan herhangi bir grup türünü kullanabilirsiniz. E-posta adresi olan bir grup genellikle posta etkin grup olarak adlandırılır.

Azure Rights Management hizmetini yapılandırmak için:

  • Microsoft Entra Id'de kiracınızdaki doğrulanmış bir etki alanından e-posta adresine sahip olan herhangi bir grup türünü kullanabilirsiniz. Bu özel durum, kiracınız için Microsoft Entra Kimliği'nde bir güvenlik grubu olması gereken bir grup kullanmak üzere ekleme denetimlerini yapılandırdığınızda geçerlidir.

  • Azure Rights Management hizmetinin temsilcili yönetimi için kiracınızdaki doğrulanmış bir etki alanından Microsoft Entra Id'deki herhangi bir grubu (e-posta adresiyle veya e-posta adresi olmadan) kullanabilirsiniz.

Dış gruplara kullanım hakları ve erişim denetimleri atama

Azure Information Protection, kiracınızdaki gruplar için Microsoft Entra proxyAddresses'i kullanmaya ek olarak, başka bir kiracıdaki grupları yetkilendirmek için de aynı şekilde bu özniteliği kullanır.

Azure Information Protection için şirket içi Active Directory hesaplarını kullanma

Azure Information Protection ile kullanmak istediğiniz şirket içinde yönetilen hesaplarınız varsa, bunları Microsoft Entra Id ile eşitlemeniz gerekir. Dağıtım kolaylığı için Microsoft Entra Bağlan kullanmanızı öneririz. Ancak, aynı sonucu elde eden herhangi bir dizin eşitleme yöntemini kullanabilirsiniz.

Hesaplarınızı eşitlerken tüm öznitelikleri eşitlemeniz gerekmez. Eşitlenmesi gereken özniteliklerin listesi için Microsoft Entra belgelerindeki Azure RMS bölümüne bakın.

Azure Rights Management öznitelikleri listesinden, kullanıcılar için eşitleme için posta, proxyAddresses ve userPrincipalName şirket içi AD özniteliklerinin gerekli olduğunu görürsünüz. Posta ve proxyAddresses değerleri Microsoft Entra proxyAddresses özniteliğiyle eşitlenir. Daha fazla bilgi için bkz . ProxyAddresses özniteliği Microsoft Entra Id'de nasıl doldurulur?

Kullanıcılarınızın ve gruplarınızın Azure Information Protection için hazır olduğunu onaylama

Kullanıcıların ve grupların Azure Information Protection ile kullanılabileceğini onaylamak için Azure AD PowerShell'i kullanabilirsiniz. PowerShell'i kullanarak bunları yetkilendirmek için kullanılabilecek değerleri de onaylayabilirsiniz.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Örneğin, Bir PowerShell oturumunda Microsoft Entra ID, MSOnline için V1 PowerShell modülünü kullanarak önce hizmete bağlanın ve genel yönetici kimlik bilgilerinizi sağlayın:

Connect-MsolService

Not: Bu komut işe yaramazsa MSOnline modülünü yüklemek için komutunu çalıştırabilirsiniz Install-Module MSOnline .

Ardından, PowerShell oturumunuzu değerleri kesmemesi için yapılandırın:

$Formatenumerationlimit =-1

Kullanıcı hesaplarının Azure Information Protection için hazır olduğunu onaylayın

Kullanıcı hesaplarını onaylamak için aşağıdaki komutu çalıştırın:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

İlk denetiminiz, Azure Information Protection ile kullanmak istediğiniz kullanıcıların görüntülendiğinden emin olmaktır.

Ardından ProxyAddresses sütununun doldurulup doldurulmadığını denetleyin. Bu durumda, bu sütundaki e-posta değerleri kullanıcıyı Azure Information Protection için yetkilendirmek için kullanılabilir.

ProxyAddresses sütunu doldurulmazsa, Kullanıcıyı Azure Rights Management hizmeti için yetkilendirmek için UserPrincipalName içindeki değer kullanılır.

Örneğin:

Görünen Ad UserPrincipalName ProxyAddresses
Jagannath Reddy jagannathreddy@contoso.com {}
Ankur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

Bu örnekte:

  • Jagannath Reddy kullanıcı hesabı tarafından jagannathreddy@contoso.comyetkilendirilecektir.

  • Ankur Roy için kullanıcı hesabı ve ankur.roy@onmicrosoft.contoso.comkullanılarak ankur.roy@contoso.com yetkilendirilebilir ancak ile yetkilendirilemezankurroy@contoso.com.

Çoğu durumda, UserPrincipalName değeri ProxyAddresses alanındaki değerlerden biriyle eşleşir. Bu önerilen yapılandırmadır, ancak UPN'nizi e-posta adresiyle eşleşecek şekilde değiştiremiyorsanız aşağıdaki adımları uygulamanız gerekir:

  1. UPN değerindeki etki alanı adı Microsoft Entra kiracınız için doğrulanmış bir etki alanıysa, UPN değerini Microsoft Entra Id'de başka bir e-posta adresi olarak ekleyin, böylece UPN değeri artık kullanıcı hesabını Azure Information Protection için yetkilendirmek için kullanılabilir.

    UPN değerindeki etki alanı adı kiracınız için doğrulanmış bir etki alanı değilse, Azure Information Protection ile kullanılamaz. Ancak, grup e-posta adresi doğrulanmış bir etki alanı adı kullandığında, kullanıcı yine de grubun üyesi olarak yetkilendirilebilir.

  2. UPN yönlendirilebilir değilse (örneğin, ankurroy@contoso.local), kullanıcılar için alternatif oturum açma kimliğini yapılandırın ve bu alternatif oturum açma bilgilerini kullanarak Office'te nasıl oturum açacaklarını öğrenin. Office için bir kayıt defteri anahtarı da ayarlamanız gerekir.

    Kullanıcılar için UPN değişiklikleriyle, en az 24 saat boyunca veya UPN değişiklikleri sisteme düzgün şekilde yansıtılana kadar iş sürekliliği kaybı yaşanacaktır.

    Daha fazla bilgi için bkz. Alternatif Oturum Açma Kimliğini Yapılandırma ve Office uygulaması lications düzenli aralıklarla SharePoint, OneDrive ve Lync Online kimlik bilgilerini ister.

İpucu

İçeri aktarma için arama ve toplu düzenleme gibi daha kolay bir yönetim için sonuçları elektronik tabloya aktarmak için Export-Csv cmdlet'ini kullanabilirsiniz.

Örneğin: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Not

Kullanıcılar için UPN değişiklikleriyle, en az 24 saat boyunca veya UPN değişiklikleri sisteme düzgün şekilde yansıtılana kadar iş sürekliliği kaybı yaşanacaktır.

Grup hesaplarının Azure Information Protection için hazır olduğunu onaylayın

Grup hesaplarını onaylamak için aşağıdaki komutu kullanın:

Get-MsolGroup | select DisplayName, ProxyAddresses

Azure Information Protection ile kullanmak istediğiniz grupların görüntülendiğinden emin olun. Görüntülenen gruplar için ProxyAddresses sütunundaki e-posta adresleri, grup üyelerini Azure Rights Management hizmeti için yetkilendirmek için kullanılabilir.

Ardından grupların Azure Information Protection için kullanmak istediğiniz kullanıcıları (veya diğer grupları) içerdiğini denetleyin. Bunu yapmak için PowerShell kullanabilirsiniz (örneğin, Get-MsolGroupMember) veya yönetim portalınızı kullanabilirsiniz.

Güvenlik gruplarını kullanan iki Azure Rights Management hizmeti yapılandırma senaryosunda, bu grupları tanımlamak için kullanılabilecek nesne kimliğini ve görünen adı bulmak için aşağıdaki PowerShell komutunu kullanabilirsiniz. Ayrıca azure portalını kullanarak bu grupları bulabilir ve nesne kimliği ile görünen adın değerlerini kopyalayabilirsiniz:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

E-posta adresleri değişirse Azure Information Protection ile ilgili dikkat edilmesi gerekenler

Bir kullanıcının veya grubun e-posta adresini değiştirirseniz, eski e-posta adresini kullanıcıya veya gruba ikinci bir e-posta adresi (proxy adresi, diğer ad veya alternatif e-posta adresi olarak da bilinir) olarak eklemenizi öneririz. Bunu yaptığınızda, eski e-posta adresi Microsoft Entra proxyAddresses özniteliğine eklenir. Bu hesap yönetimi, eski e-posta adresi kullanımdayken kaydedilen kullanım hakları veya diğer yapılandırmalar için iş sürekliliğini sağlar.

Bunu yapamazsanız, yeni e-posta adresi olan kullanıcı veya grup, daha önce eski e-posta adresiyle korunan belgelere ve e-postalara erişimi reddedilir. Bu durumda, yeni e-posta adresini kaydetmek için koruma yapılandırmasını tekrarlamanız gerekir. Örneğin, kullanıcıya veya gruba şablonlar veya etiketlerde kullanım hakları verildiyse, bu şablonları veya etiketleri düzenleyin ve eski e-posta adresine verilen kullanım haklarıyla aynı yeni e-posta adresini belirtin.

Bir grubun e-posta adresini değiştirmesinin nadir olduğunu ve tek tek kullanıcılar yerine bir gruba kullanım hakları atarsanız, kullanıcının e-posta adresinin değişip değişmediğinin önemli olmadığını unutmayın. Bu senaryoda kullanım hakları tek tek kullanıcı e-posta adreslerine değil grup e-posta adresine atanır. Bu, bir yöneticinin belgeleri ve e-postaları koruyan kullanım haklarını yapılandırması için en olası (ve önerilen) yöntemdir. Ancak, kullanıcılar genellikle tek tek kullanıcılar için özel izinler atayabilir. Bir kullanıcı hesabının veya grubun erişim vermek için kullanılıp kullanılmadığını her zaman bilmediğiniz için, eski e-posta adresini her zaman ikinci bir e-posta adresi olarak eklemek en güvenlidir.

Azure Information Protection tarafından grup üyeliği önbelleğe alma

Performans nedenleriyle, Azure Information Protection grup üyeliğini önbelleğe alır. Bu, Microsoft Entra Id'de grup üyeliğinde yapılan tüm değişikliklerin, bu grupların Azure Information Protection tarafından kullanıldığı ve bu sürenin değişmeye tabi olduğu durumlarda üç saate kadar sürebileceği anlamına gelir.

Kullanım hakları vermek veya Azure Rights Management hizmetini yapılandırmak için grupları kullanırken ya da kapsamlı ilkeler yapılandırırken yaptığınız değişikliklere veya testlere bu gecikmeyi hesaba kattığınızı unutmayın.

Sonraki adımlar

Kullanıcılarınızın ve gruplarınızın Azure Information Protection ile kullanılabileceğini onayladıktan sonra belgeleri ve e-postaları korumaya başlamaya hazır olduğunuzda Azure Rights Management hizmetini etkinleştirmeniz gerekip gerekmediğini denetleyin. Kuruluşunuzun belgelerini ve e-postalarını koruyabilmeniz için önce bu hizmetin etkinleştirilmesi gerekir:

  • Şubat 2018'den itibaren: Azure Rights Management veya Azure Information Protection içeren aboneliğiniz bu ay içinde veya sonrasında edinildiyse, hizmet sizin için otomatik olarak etkinleştirilir.

  • Aboneliğiniz Şubat 2018'den önce edinildiyse: Hizmeti kendiniz etkinleştirmeniz gerekir.

Etkinleştirme durumunu denetlemeyi de içeren daha fazla bilgi için bkz . Azure Information Protection'dan koruma hizmetini etkinleştirme.