Příprava uživatelů a skupin pro Azure Information Protection

Před nasazením služby Azure Information Protection pro vaši organizaci se ujistěte, že máte účty pro uživatele a skupiny v Microsoft Entra ID tenanta vaší organizace.

Existují různé způsoby vytvoření těchto účtů pro uživatele a skupiny, mezi které patří:

• Uživatele vytvoříte v Centrum pro správu Microsoftu 365 a skupinách v Centru pro správu Exchange Online.

• Uživatele a skupiny vytvoříte na webu Azure Portal.

• Uživatele a skupinu vytvoříte pomocí rutin Azure AD PowerShellu a Exchange Online.

• Ve svém místní Active Directory vytvoříte uživatele a skupiny a synchronizujete je s ID Microsoft Entra.

• Uživatele a skupiny vytvoříte v jiném adresáři a synchronizujete je s MICROSOFT Entra ID.

Když vytvoříte uživatele a skupiny pomocí prvních tří metod z tohoto seznamu, s jednou výjimkou, automaticky se vytvoří v Microsoft Entra ID a Azure Information Protection může tyto účty používat přímo. Mnoho podnikových sítí ale používá místní adresář k vytváření a správě uživatelů a skupin. Azure Information Protection nemůže tyto účty používat přímo; musíte je synchronizovat s Microsoft Entra ID.

Výjimkou uvedené v předchozím odstavci jsou dynamické distribuční seznamy, které můžete vytvořit pro Exchange Online. Na rozdíl odstatických

Používání uživatelů a skupin službou Azure Information Protection

Existují tři scénáře použití uživatelů a skupin se službou Azure Information Protection:

Při přiřazování popisků uživatelům při konfiguraci zásad služby Azure Information Protection tak, aby se popisky mohly použít u dokumentů a e-mailů. Tyto uživatele a skupiny můžou vybrat jenom správci:

• Výchozí zásady služby Azure Information Protection se automaticky přiřadí všem uživatelům v ID Microsoft Entra vašeho tenanta. Můžete ale také přiřadit další popisky určeným uživatelům nebo skupinám pomocí vymezených zásad.

Při přiřazování práv k používání a řízení přístupu při ochraně dokumentů a e-mailů používáte službu Azure Rights Management. Správa istrátory a uživatelé mohou vybrat tyto uživatele a skupiny:

• Práva k používání určují, jestli uživatel může otevřít dokument nebo e-mail a jak ho může používat. Například to, jestli ho můžou číst, číst a tisknout, nebo číst a upravovat.

• Řízení přístupu zahrnuje datum vypršení platnosti a to, jestli je pro přístup vyžadováno připojení k internetu.

Pro konfiguraci služby Azure Rights Management pro podporu konkrétních scénářů, a proto tyto skupiny vyberou jenom správci. Mezi příklady patří konfigurace následujících:

• Superuživatelé, aby určené služby nebo lidé mohli otevřít šifrovaný obsah v případě potřeby pro eDiscovery nebo obnovení dat.

• Delegovaná správa služby Azure Rights Management

• Ovládací prvky onboardingu pro podporu postupného nasazení

Požadavky služby Azure Information Protection na uživatelské účty

Přiřazení popisků:

• Všechny uživatelské účty v Microsoft Entra ID lze použít ke konfiguraci zásad s vymezeným oborem, které uživatelům přiřazují další popisky.

Přiřazení práv k používání a řízení přístupu a konfigurace služby Azure Rights Management:

• K autorizaci uživatelů se používají dva atributy v ID Microsoft Entra: proxyAddresses a userPrincipalName.

• Atribut Microsoft Entra proxyAddresses ukládá všechny e-mailové adresy pro účet a dá se naplnit různými způsoby. Uživatel v Microsoftu 365, který má poštovní schránku Exchange Online, má například automaticky e-mailovou adresu uloženou v tomto atributu. Pokud uživateli Microsoftu 365 přiřadíte alternativní e-mailovou adresu, uloží se také do tohoto atributu. Dají se také naplnit e-mailovými adresami, které jsou synchronizované z místních účtů.

  Azure Information Protection může použít libovolnou hodnotu v tomto atributu Microsoft Entra proxyAddresses, pokud se doména přidala do vašeho tenanta ("ověřená doména"). Další informace o ověřování domén:

  • Pro Microsoft Entra ID: Přidání vlastního názvu domény do Microsoft Entra ID

  • Pro Office 365: Přidání domény do Office 365

• Atribut Microsoft Entra userPrincipalName se používá pouze v případech, kdy účet ve vašem tenantovi nemá hodnoty v atributu Microsoft Entra proxyAddresses. Například vytvoříte uživatele na webu Azure Portal nebo vytvoříte uživatele pro Microsoft 365, který nemá poštovní schránku.

Přiřazení práv k používání a řízení přístupu k externím uživatelům

Kromě použití microsoft Entra proxyAddresses a Microsoft Entra userPrincipalName pro uživatele ve vašem tenantovi používá Azure Information Protection tyto atributy stejným způsobem k autorizaci uživatelů z jiného tenanta.

Další metody autorizace:

• U e-mailových adres, které nejsou v Microsoft Entra ID, může azure Information Protection tyto adresy autorizovat při ověřování pomocí účtu Microsoft. Ne všechny aplikace ale můžou otevřít chráněný obsah, když se pro ověřování používá účet Microsoft. Další informace

• Když se e-mail odešle pomocí šifrování zpráv Office 365 s novými možnostmi uživateli, který nemá účet v MICROSOFT Entra ID, je uživatel nejprve ověřen pomocí federace se zprostředkovatelem sociální identity nebo pomocí jednorázového hesla. Pak se k autorizaci uživatele použije e-mailová adresa zadaná v chráněném e-mailu.

Požadavky služby Azure Information Protection pro skupinové účty

Přiřazení popisků:

• Pokud chcete nakonfigurovat vymezené zásady, které přiřazují členům skupiny další popisky, můžete použít libovolný typ skupiny v ID Microsoft Entra s e-mailovou adresou, která obsahuje ověřenou doménu pro tenanta uživatele. Skupina s e-mailovou adresou se často označuje jako skupina s podporou pošty.

  Můžete například použít poštovní skupinu zabezpečení, statickou distribuční skupinu a skupinu Microsoftu 365. Nemůžete použít skupinu zabezpečení (dynamickou nebo statickou), protože tento typ skupiny nemá e-mailovou adresu. Nemůžete také použít dynamický distribuční seznam z Exchange Online, protože tato skupina není replikována do Microsoft Entra ID.

Přiřazení práv k používání a řízení přístupu:

• V MICROSOFT Entra ID můžete použít libovolný typ skupiny s e-mailovou adresou, která obsahuje ověřenou doménu pro tenanta uživatele. Skupina s e-mailovou adresou se často označuje jako skupina s podporou pošty.

Konfigurace služby Azure Rights Management:

• V MICROSOFT Entra ID můžete použít libovolný typ skupiny, který má e-mailovou adresu z ověřené domény ve vašem tenantovi, s jednou výjimkou. Tato výjimka je, když nakonfigurujete ovládací prvky onboardingu tak, aby používaly skupinu, což musí být skupina zabezpečení v Microsoft Entra ID vašeho tenanta.

• Pro delegovanou správu služby Azure Rights Management můžete použít libovolnou skupinu v Microsoft Entra ID (s e-mailovou adresou nebo bez e-mailové adresy) z ověřené domény ve vašem tenantovi.

Přiřazení práv k používání a řízení přístupu externím skupinám

Kromě použití microsoft Entra proxyAddresses pro skupiny ve vašem tenantovi používá Azure Information Protection tento atribut stejným způsobem k autorizaci skupin z jiného tenanta.

Použití účtů z místní služby Active Directory pro Azure Information Protection

Pokud máte účty spravované místně, které chcete používat se službou Azure Information Protection, musíte je synchronizovat s ID Microsoft Entra. Pro snadné nasazení doporučujeme používat Microsoft Entra Připojení. Můžete ale použít libovolnou metodu synchronizace adresářů, která dosáhne stejného výsledku.

Při synchronizaci účtů nemusíte synchronizovat všechny atributy. Seznam atributů, které je potřeba synchronizovat, najdete v části Azure RMS z dokumentace k Microsoft Entra.

V seznamu atributů služby Azure Rights Management vidíte, že pro synchronizaci se vyžadují místní atributy AD pošty, proxyAddresses a userPrincipalName . Hodnoty pro poštu a proxyAddresses se synchronizují s atributem Microsoft Entra proxyAddresses. Další informace naleznete v tématu Jak se atribut proxyAddresses naplní v Microsoft Entra ID

Potvrzení připravenosti uživatelů a skupin na Azure Information Protection

Pomocí Azure AD PowerShellu můžete ověřit, že se uživatelé a skupiny dají používat se službou Azure Information Protection. Pomocí PowerShellu můžete také potvrdit hodnoty, které je možné použít k jejich autorizaci.

Například pomocí modulu PowerShellu V1 pro Microsoft Entra ID, MSOnline, v relaci PowerShellu se nejprve připojte ke službě a zadejte přihlašovací údaje globálního správce:

Connect-MsolService

Poznámka: Pokud tento příkaz nefunguje, můžete spustit Install-Module MSOnline instalaci modulu MSOnline.

Dále nakonfigurujte relaci PowerShellu tak, aby nezkrátil hodnoty:

$Formatenumerationlimit =-1

Potvrzení připravenosti uživatelských účtů pro Azure Information Protection

Pokud chcete potvrdit uživatelské účty, spusťte následující příkaz:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

První kontrola spočívá v tom, že se zobrazí uživatelé, které chcete používat se službou Azure Information Protection.

Potom zkontrolujte, jestli je vyplněný sloupec ProxyAddresses . Pokud ano, dají se k autorizaci uživatele pro Azure Information Protection použít e-mailové hodnoty v tomto sloupci.

Pokud sloupec ProxyAddresses není vyplněný, použije se hodnota v userPrincipalName k autorizaci uživatele pro službu Azure Rights Management.

Příklad:

V tomto příkladu:

• Uživatelský účet Jagannath Reddy bude autorizován jagannathreddy@contoso.com.

• Uživatelský účet pro Ankur Roy lze autorizovat pomocí a ankur.roy@contoso.comankur.roy@onmicrosoft.contoso.com, ale ne ankurroy@contoso.com.

Ve většině případů hodnota UserPrincipalName odpovídá jedné z hodnot v poli ProxyAddresses. Toto je doporučená konfigurace, ale pokud nemůžete změnit hlavní název uživatele tak, aby odpovídal e-mailové adrese, musíte provést následující kroky:

1. Pokud je název domény v hodnotě hlavního názvu uživatele (UPN) ověřenou doménou pro vašeho tenanta Microsoft Entra, přidejte hodnotu hlavního názvu uživatele (UPN) jako jinou e-mailovou adresu v MICROSOFT Entra ID, aby se teď hodnota hlavního názvu uživatele (UPN) použila k autorizaci uživatelského účtu pro Azure Information Protection.

   Pokud název domény v hodnotě hlavního názvu uživatele není ověřenou doménou pro vašeho tenanta, nedá se použít se službou Azure Information Protection. Pokud ale e-mailová adresa skupiny používá ověřený název domény, může být uživatel stále autorizovaný jako člen skupiny.

2. Pokud hlavní název uživatele (UPN) není směrovatelný (například ankurroy@contoso.local), nakonfigurujte alternativní přihlašovací ID pro uživatele a dejte jim pokyn, jak se přihlásit k Office pomocí tohoto alternativního přihlášení. Musíte také nastavit klíč registru pro Office.

   Při změnách hlavního názvu uživatele (UPN) uživatelů dojde ke ztrátě kontinuity podnikových procesů nejméně 24 hodin nebo dokud se změny hlavního názvu uživatele (UPN) v systému neprojeví správně.

   Další informace najdete v tématu Konfigurace alternativního přihlašovacího ID a aplikace Office řešení pravidelně výzvy k zadání přihlašovacích údajů pro SharePoint, OneDrive a Lync Online.

Potvrzení připravenosti skupinových účtů pro Azure Information Protection

Pokud chcete potvrdit skupinové účty, použijte následující příkaz:

Get-MsolGroup | select DisplayName, ProxyAddresses

Ujistěte se, že se zobrazují skupiny, které chcete použít se službou Azure Information Protection. U zobrazených skupin se dají e-mailové adresy ve sloupci ProxyAddresses použít k autorizaci členů skupiny pro službu Azure Rights Management.

Pak zkontrolujte, jestli skupiny obsahují uživatele (nebo jiné skupiny), které chcete použít pro Azure Information Protection. K tomu můžete použít PowerShell (například Get-MsolGroupMember) nebo použít portál pro správu.

Pro dva scénáře konfigurace služby Azure Rights Management, které používají skupiny zabezpečení, můžete pomocí následujícího příkazu PowerShellu najít ID objektu a zobrazovaný název, který se dá použít k identifikaci těchto skupin. Tyto skupiny můžete najít také pomocí webu Azure Portal a zkopírovat hodnoty ID objektu a zobrazovaný název:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Důležité informace o službě Azure Information Protection, pokud se změní e-mailové adresy

Pokud změníte e-mailovou adresu uživatele nebo skupiny, doporučujeme uživateli nebo skupině přidat starou e-mailovou adresu jako druhou e-mailovou adresu (označovanou také jako proxy adresu, alias nebo alternativní e-mailovou adresu). Když to uděláte, stará e-mailová adresa se přidá do atributu Microsoft Entra proxyAddresses. Tato správa účtu zajišťuje kontinuitu podnikových procesů pro všechna práva k používání nebo jiné konfigurace, které byly uloženy při použití staré e-mailové adresy.

Pokud to nemůžete udělat, může uživatel nebo skupina s novou e-mailovou adresou odepřít přístup k dokumentům a e-mailům, které byly dříve chráněny starou e-mailovou adresou. V takovém případě musíte konfiguraci ochrany zopakovat, aby se nová e-mailová adresa uložila. Pokud například uživateli nebo skupině byla udělena práva k používání v šablonách nebo popiscích, upravte tyto šablony nebo popisky a zadejte novou e-mailovou adresu se stejnými právy k používání, která jste udělili staré e-mailové adrese.

Všimněte si, že skupina může změnit svou e-mailovou adresu zřídka a pokud skupině místo jednotlivých uživatelů přiřadíte práva k používání, nezáleží na tom, jestli se e-mailová adresa uživatele změní. V tomto scénáři se práva k používání přiřazují k e-mailové adrese skupiny, nikoli k jednotlivým uživatelským e-mailovým adresům. Jedná se o nejpravděpodobnější (a doporučenou) metodu pro správce, která konfiguruje práva na používání, která chrání dokumenty a e-maily. Uživatelé ale můžou obvykle přiřazovat vlastní oprávnění jednotlivým uživatelům. Vzhledem k tomu, že nemůžete vždy zjistit, jestli byl uživatelský účet nebo skupina použity k udělení přístupu, je bezpečné vždy přidat starou e-mailovou adresu jako druhou e-mailovou adresu.

Ukládání členství ve skupinách do mezipaměti službou Azure Information Protection

Z důvodů výkonu azure Information Protection ukládá členství ve skupinách do mezipaměti. To znamená, že změny členství ve skupinách v ID Microsoft Entra můžou trvat až tři hodiny, než se projeví, když se tyto skupiny používají službou Azure Information Protection a toto časové období se může změnit.

Nezapomeňte toto zpoždění zohlednit při jakýchkoli změnách nebo testování, které provedete, když používáte skupiny pro udělení práv k používání nebo konfiguraci služby Azure Rights Management nebo při konfiguraci zásad s vymezeným oborem.

Další kroky

Po potvrzení, že se uživatelé a skupiny dají používat se službou Azure Information Protection a jste připraveni začít chránit dokumenty a e-maily, zkontrolujte, jestli potřebujete aktivovat službu Azure Rights Management. Než budete moct chránit dokumenty a e-maily vaší organizace, musíte tuto službu aktivovat:

• Od února 2018: Pokud vaše předplatné, které zahrnuje Azure Rights Management nebo Azure Information Protection, bylo získáno během nebo po tomto měsíci, služba se automaticky aktivuje za vás.

• Pokud jste předplatné získali před únorem 2018: Službu musíte aktivovat sami.

Další informace, které zahrnují kontrolu stavu aktivace, najdete v tématu Aktivace služby Ochrany ze služby Azure Information Protection.