Felhasználók és csoportok előkészítése az Azure Information Protectionhez

Megjegyzés:

Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?

Az Office Azure Information Protection bővítménye karbantartási módban van, és 2024 áprilisában megszűnik. Ehelyett azt javasoljuk, hogy olyan címkéket használjon , amelyek beépítettek az Office 365-alkalmazásokba és -szolgáltatásokba. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.

Mielőtt üzembe helyezené az Azure Information Protectiont a szervezetében, győződjön meg arról, hogy rendelkezik a szervezet bérlőjéhez tartozó Microsoft Entra-azonosítóban lévő felhasználókhoz és csoportokhoz tartozó fiókkal.

Ezeket a fiókokat különböző módokon hozhatja létre a felhasználók és csoportok számára, például:

  • A felhasználókat a Microsoft 365 Felügyeleti központ és a csoportokat az Exchange Online Felügyeleti központban hozhatja létre.

  • A felhasználókat és csoportokat az Azure Portalon hozhatja létre.

  • A felhasználókat és csoportokat az Azure AD PowerShell és az Exchange Online parancsmagok használatával hozhatja létre.

  • Létrehozhatja a felhasználókat és csoportokat a helyi Active Directory, és szinkronizálhatja őket a Microsoft Entra-azonosítóval.

  • Létrehozhatja a felhasználókat és csoportokat egy másik könyvtárban, és szinkronizálhatja őket a Microsoft Entra-azonosítóval.

Ha a lista első három metódusával hoz létre felhasználókat és csoportokat, egy kivétellel automatikusan létrejönnek a Microsoft Entra-azonosítóban, és az Azure Information Protection közvetlenül használhatja ezeket a fiókokat. Sok vállalati hálózat azonban helyszíni címtárat használ a felhasználók és csoportok létrehozásához és kezeléséhez. Az Azure Information Protection nem tudja közvetlenül használni ezeket a fiókokat; szinkronizálnia kell őket a Microsoft Entra-azonosítóval.

Az előző bekezdésben említett kivétel az Exchange Online-hoz létrehozható dinamikus terjesztési listák. A statikus terjesztési listákkal ellentétben ezek a csoportok nem replikálódnak a Microsoft Entra-azonosítóba, ezért az Azure Information Protection nem tudja használni.

Felhasználók és csoportok használata az Azure Information Protectionben

A felhasználók és csoportok Azure Information Protection szolgáltatással való használatára három forgatókönyv létezik:

Címkék felhasználókhoz való hozzárendeléséhez az Azure Information Protection-szabályzat konfigurálásakor, hogy a címkék a dokumentumokra és e-mailekre alkalmazhatók legyenek. Csak rendszergazdák választhatják ki ezeket a felhasználókat és csoportokat:

  • A rendszer automatikusan hozzárendeli az alapértelmezett Azure Information Protection-szabályzatot a bérlő Microsoft Entra-azonosítójában szereplő összes felhasználóhoz. A hatókörrel rendelkező szabályzatok használatával azonban további címkéket is hozzárendelhet a megadott felhasználókhoz vagy csoportokhoz.

Használati jogosultságok és hozzáférési vezérlők hozzárendeléséhez, amikor a Azure Tartalomvédelmi szolgáltatások szolgáltatást használja a dokumentumok és e-mailek védelmére. Rendszergazda felhasználók és felhasználók kiválaszthatják ezeket a felhasználókat és csoportokat:

  • A használati jogosultságok határozzák meg, hogy a felhasználó megnyithat-e egy dokumentumot vagy e-mailt, és hogyan használhatja azt. Például azt, hogy csak elolvassák, vagy elolvassák és kinyomtatják, vagy elolvassák és szerkesztik.

  • A hozzáférés-vezérlések tartalmazzák a lejárati dátumot, valamint azt, hogy szükség van-e internetkapcsolatra a hozzáféréshez.

A Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálásához adott forgatókönyvek támogatásához, ezért csak a rendszergazdák jelölik ki ezeket a csoportokat. Ilyenek például a következők konfigurálása:

  • Szuperfelhasználók, hogy a kijelölt szolgáltatások vagy személyek megnyithassák a titkosított tartalmakat, ha szükséges az adatfeltáráshoz vagy az adatok helyreállításához.

  • A Azure Tartalomvédelmi szolgáltatások szolgáltatás delegált felügyelete.

  • A fázisos üzembe helyezést támogató vezérlők előkészítése.

Az Azure Information Protection felhasználói fiókokra vonatkozó követelményei

Címkék hozzárendeléséhez:

  • A Microsoft Entra-azonosítóban található összes felhasználói fiók használható olyan hatókörű szabályzatok konfigurálására, amelyek további címkéket rendelnek a felhasználókhoz.

Használati jogosultságok és hozzáférés-vezérlők hozzárendeléséhez, valamint a Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálásához:

  • A felhasználók engedélyezéséhez a Microsoft Entra-azonosító két attribútumot használ: proxyAddresses és userPrincipalName.

  • A Microsoft Entra proxyAddresses attribútum egy fiók összes e-mail-címét tárolja, és különböző módokon tölthető fel. Például egy Exchange Online-postaládával rendelkező Microsoft 365-felhasználó automatikusan rendelkezik az attribútumban tárolt e-mail-címmel. Ha másik e-mail-címet rendel egy Microsoft 365-felhasználóhoz, az is ebbe az attribútumba lesz mentve. A helyszíni fiókokból szinkronizált e-mail-címek is kitölthetők.

    Az Azure Information Protection bármilyen értéket használhat ebben a Microsoft Entra proxyAddresses attribútumban, feltéve, hogy a tartomány hozzá lett adva a bérlőhöz (egy "ellenőrzött tartomány"). További információ a tartományok ellenőrzéséről:

  • A Microsoft Entra userPrincipalName attribútumot csak akkor használja a rendszer, ha a bérlő egyik fiókja nem tartalmaz értékeket a Microsoft Entra proxyAddresses attribútumában. Létrehozhat például egy felhasználót az Azure Portalon, vagy létrehozhat egy olyan felhasználót a Microsoft 365-höz, aki nem rendelkezik postaládával.

Assigning usage rights and access controls to external users

A Microsoft Entra proxyAddresses és a Microsoft Entra userPrincipalName használata mellett az Azure Information Protection is ugyanúgy használja ezeket az attribútumokat, hogy engedélyezze a felhasználókat egy másik bérlőtől.

Egyéb engedélyezési módszerek:

  • Olyan e-mail-címek esetén, amelyek nem szerepelnek a Microsoft Entra-azonosítóban, az Azure Information Protection engedélyezheti ezeket, ha azok hitelesítése Microsoft-fiókkal történik. Azonban nem minden alkalmazás nyithat meg védett tartalmat, ha a hitelesítéshez Microsoft-fiókot használnak. További információ

  • Ha az Office 365 Üzenettitkosítás új képességekkel rendelkező e-maileket küld egy olyan felhasználónak, aki nem rendelkezik Fiókkal a Microsoft Entra-azonosítóban, a rendszer először egy közösségi identitásszolgáltatóval való összevonással vagy egyszeri pin-kóddal hitelesíti a felhasználót. Ezután a védett e-mailben megadott e-mail-cím használatával engedélyezi a felhasználót.

Azure Information Protection-követelmények csoportfiókokhoz

Címkék hozzárendeléséhez:

  • Ha olyan hatókörrel rendelkező szabályzatokat szeretne konfigurálni, amelyek további címkéket rendelnek a csoporttagokhoz, a Microsoft Entra ID bármely olyan csoportját használhatja, amely rendelkezik a felhasználó bérlőjének ellenőrzött tartományát tartalmazó e-mail-címmel. Az e-mail-címmel rendelkező csoportokat gyakran levelezési csoportnak nevezik.

    Használhat például egy levelezésre képes biztonsági csoportot, egy statikus terjesztési csoportot és egy Microsoft 365-csoportot. Nem használhat biztonsági csoportot (dinamikus vagy statikus), mert ez a csoporttípus nem rendelkezik e-mail-címmel. Az Exchange Online-ból sem használhat dinamikus terjesztési listát, mert ez a csoport nem replikálódik a Microsoft Entra-azonosítóra.

Használati jogosultságok és hozzáférési vezérlők hozzárendeléséhez:

  • Bármilyen típusú csoportot használhat a Microsoft Entra-azonosítóban, amelynek e-mail-címe a felhasználó bérlőjének ellenőrzött tartományát tartalmazza. Az e-mail-címmel rendelkező csoportokat gyakran levelezési csoportnak nevezik.

A Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálásához:

  • A Microsoft Entra-azonosítóban bármilyen típusú csoportot használhat, amely egy kivétellel rendelkezik egy ellenőrzött tartományból származó e-mail-címmel a bérlőben. Ez a kivétel akkor van, ha az előkészítési vezérlőket úgy konfigurálja, hogy egy csoportot használjanak, amelynek a Bérlő Microsoft Entra-azonosítójában biztonsági csoportnak kell lennie.

  • A Microsoft Entra-azonosítóban lévő csoportokat (e-mail-címmel vagy anélkül) a bérlő ellenőrzött tartományából használhatja a Azure Tartalomvédelmi szolgáltatások szolgáltatás delegált felügyeletéhez.

Használati jogosultságok és hozzáférési vezérlők hozzárendelése külső csoportokhoz

A Microsoft Entra proxyAddresses bérlői csoportokhoz való használata mellett az Azure Information Protection ezt az attribútumot is ugyanúgy használja egy másik bérlő csoportjainak engedélyezéséhez.

Helyszíni Active Directory-fiókok használata az Azure Information Protectionhez

Ha rendelkezik olyan helyszíni felügyelt fiókkal, amelyet az Azure Information Protection szolgáltatással szeretne használni, szinkronizálnia kell őket a Microsoft Entra-azonosítóval. Az üzembe helyezés megkönnyítése érdekében javasoljuk, hogy használja a Microsoft Entra Csatlakozás. Azonban bármilyen címtár-szinkronizálási módszert használhat, amely ugyanazt az eredményt éri el.

A fiókok szinkronizálása során nem kell minden attribútumot szinkronizálnia. A szinkronizálandó attribútumok listáját a Microsoft Entra dokumentációjának Azure RMS-szakaszában találja.

A Azure Tartalomvédelmi szolgáltatások attribútumlistájában láthatja, hogy a felhasználók számára a levelezés, a proxyAddresses és a userPrincipalName helyszíni AD-attribútumai szükségesek a szinkronizáláshoz. A levelezés és a proxyAddresses értékei szinkronizálódnak a Microsoft Entra proxyAddresses attribútummal. További információ: A proxyAddresses attribútum feltöltése a Microsoft Entra-azonosítóban

Annak ellenőrzése, hogy a felhasználók és csoportok felkészültek-e az Azure Information Protectionre

Az Azure AD PowerShell használatával ellenőrizheti, hogy a felhasználók és csoportok használhatók-e az Azure Information Protectionben. A PowerShell használatával is megerősítheti azokat az értékeket, amelyek az engedélyezésükhöz használhatók.

Ha például a Microsoft Entra ID-hez készült V1 PowerShell-modult használja, az MSOnline egy PowerShell-munkamenetben először csatlakozzon a szolgáltatáshoz, és adja meg a globális rendszergazdai hitelesítő adatait:

Connect-MsolService

Megjegyzés: Ha ez a parancs nem működik, futtathatja Install-Module MSOnline az MSOnline modul telepítését.

Ezután konfigurálja a PowerShell-munkamenetet, hogy ne csonkíthassa az értékeket:

$Formatenumerationlimit =-1

Győződjön meg arról, hogy a felhasználói fiókok készen állnak az Azure Information Protection használatára

A felhasználói fiókok megerősítéséhez futtassa a következő parancsot:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Az első ellenőrzés annak ellenőrzése, hogy megjelennek-e az Azure Information Protectionben használni kívánt felhasználók.

Ezután ellenőrizze, hogy a ProxyAddresses oszlop ki van-e töltve. Ha igen, az oszlopban szereplő e-mail-értékek használatával engedélyezheti a felhasználót az Azure Information Protection számára.

Ha a ProxyAddresses oszlop nincs feltöltve, a UserPrincipalName érték használatával engedélyezi a felhasználót a Azure Tartalomvédelmi szolgáltatások szolgáltatás számára.

Például:

Display Name UserPrincipalName ProxyAddresses
Jagannath Reddy jagannathreddy@contoso.com {}
Ankur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

Ebben a példában:

  • A Jagannath Reddy felhasználói fiókját jagannathreddy@contoso.coma rendszer engedélyezi.

  • Az Ankur Roy felhasználói fiókja a következő használatával ankur.roy@contoso.com engedélyezhető: és ankur.roy@onmicrosoft.contoso.com, de nem ankurroy@contoso.com.

A legtöbb esetben a UserPrincipalName értéke megegyezik a ProxyAddresses mező egyik értékével. Ez az ajánlott konfiguráció, de ha az egyszerű felhasználónév nem módosítható az e-mail-címnek megfelelően, a következő lépéseket kell végrehajtania:

  1. Ha az UPN-érték tartományneve a Microsoft Entra-bérlő igazolt tartománya, adja hozzá az UPN-értéket egy másik e-mail-címként a Microsoft Entra-azonosítóban, hogy az UPN-érték mostantól az Azure Information Protection felhasználói fiókjának engedélyezésére használható legyen.

    Ha az UPN-érték tartományneve nem ellenőrzött tartomány a bérlő számára, akkor nem használható az Azure Information Protectionben. A felhasználó azonban továbbra is jogosult a csoport tagjaként, ha a csoport e-mail-címe ellenőrzött tartománynevet használ.

  2. Ha az UPN nem érhető el (például), konfiguráljon alternatív bejelentkezési azonosítót a felhasználók számára, ankurroy@contoso.localés utasítsa őket arra, hogy ezzel a másodlagos bejelentkezéssel jelentkezzenek be az Office-ba. Az Office beállításkulcsát is be kell állítania.

    A felhasználók UPN-változásai esetén az üzletmenet folytonossága legalább 24 órán át megszakad, vagy amíg az UPN-változások megfelelően nem jelennek meg a rendszerben.

    További információ: Alternatív bejelentkezési azonosító konfigurálása és Office-app licációk rendszeres kérése hitelesítő adatok megadásához a SharePointba, a OneDrive-ba és a Lync Online-ba.

Tipp.

Az Export-Csv parancsmaggal exportálhatja az eredményeket egy táblázatba a könnyebb kezelés érdekében, például keresés és tömeges szerkesztés importálás céljából.

Például: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Megjegyzés:

A felhasználók UPN-változásai esetén az üzletmenet folytonossága legalább 24 órán át megszakad, vagy amíg az UPN-változások megfelelően nem jelennek meg a rendszerben.

Ellenőrizze, hogy a csoportfiókok készen állnak-e az Azure Information Protectionre

A csoportfiókok megerősítéséhez használja a következő parancsot:

Get-MsolGroup | select DisplayName, ProxyAddresses

Győződjön meg arról, hogy megjelennek az Azure Information Protectionben használni kívánt csoportok. A megjelenített csoportok esetében a ProxyAddresses oszlopban található e-mail-címek segítségével engedélyezheti a csoporttagokat a Azure Tartalomvédelmi szolgáltatások szolgáltatás számára.

Ezután ellenőrizze, hogy a csoportok tartalmazzák-e az Azure Information Protectionhez használni kívánt felhasználókat (vagy más csoportokat). Ehhez használhatja a PowerShellt (például Get-MsolGroupMember), vagy használhatja a felügyeleti portált.

A biztonsági csoportokat használó két Azure Tartalomvédelmi szolgáltatások szolgáltatáskonfigurációs forgatókönyv esetében az alábbi PowerShell-paranccsal megkeresheti az objektumazonosítót és a megjelenítendő nevet, amely a csoportok azonosítására használható. Az Azure Portal használatával is megkeresheti ezeket a csoportokat, és másolhatja az objektumazonosító és a megjelenítendő név értékeit:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Az Azure Information Protection használata az e-mail-címek megváltozása esetén

Ha módosítja egy felhasználó vagy csoport e-mail-címét, javasoljuk, hogy a régi e-mail-címet második e-mail-címként (más néven proxycímként, aliasként vagy másodlagos e-mail-címként) adja hozzá a felhasználóhoz vagy csoporthoz. Ha ezt teszi, a rendszer hozzáadja a régi e-mail-címet a Microsoft Entra proxyAddresses attribútumhoz. Ez a fiókfelügyelet biztosítja az üzletmenet folytonosságát minden olyan használati jogosultság vagy egyéb konfiguráció esetében, amelyet a régi e-mail-cím használatakor mentettek.

Ha ezt nem tudja megtenni, az új e-mail-címmel rendelkező felhasználó vagy csoport megtagadhatja a hozzáférést a régi e-mail-címmel korábban védett dokumentumokhoz és e-mailekhez. Ebben az esetben meg kell ismételnie a védelmi konfigurációt az új e-mail-cím mentéséhez. Ha például a felhasználó vagy csoport használati jogosultságokat kapott a sablonokban vagy címkékben, szerkessze ezeket a sablonokat vagy címkéket, és adja meg az új e-mail-címet a régi e-mail-címhez megadott használati jogosultságokkal.

Vegye figyelembe, hogy ritkán fordul elő, hogy egy csoport módosítja az e-mail-címét, és ha az egyes felhasználók helyett egy csoporthoz rendel használati jogokat, nem számít, hogy a felhasználó e-mail-címe megváltozik-e. Ebben az esetben a használati jogosultságok a csoport e-mail-címéhez vannak hozzárendelve, nem pedig az egyes felhasználói e-mail-címekhez. Ez a legvalószínűbb (és ajánlott) módszer a rendszergazdák számára, hogy olyan használati jogosultságokat konfiguráljanak, amelyek védik a dokumentumokat és az e-maileket. Előfordulhat azonban, hogy a felhasználók általában egyéni engedélyeket rendelnek az egyes felhasználókhoz. Mivel nem mindig tudja, hogy egy felhasználói fiókot vagy csoportot használtak-e a hozzáférés megadására, a legbiztonságosabb, ha a régi e-mail-címet mindig második e-mail-címként adja hozzá.

Csoporttagság gyorsítótárazása az Azure Information Protection használatával

Teljesítménybeli okokból az Azure Information Protection gyorsítótárazza a csoporttagságokat. Ez azt jelenti, hogy a Microsoft Entra-azonosító csoporttagságának bármilyen módosítása akár három órát is igénybe vehet, amikor ezeket a csoportokat az Azure Information Protection használja, és ez az időtartam változhat.

Ne felejtse el figyelembe venni ezt a késést azokra a módosításokra vagy tesztelésekre, amelyeket akkor hajt végre, amikor csoportokat használ a használati jogosultságok megadásához vagy a Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálásához, vagy ha hatóköralapú szabályzatokat konfigurál.

Következő lépések

Ha megerősítette, hogy a felhasználók és csoportok használhatók az Azure Information Protectionben, és készen áll a dokumentumok és e-mailek védelmére, ellenőrizze, hogy aktiválnia kell-e a Azure Tartalomvédelmi szolgáltatások szolgáltatást. Ezt a szolgáltatást aktiválni kell, mielőtt megvédené a szervezet dokumentumait és e-mailjeit:

  • 2018 februárjától kezdve: Ha a Azure Tartalomvédelmi szolgáltatások vagy az Azure Information Protectiont tartalmazó előfizetése ebben a hónapban vagy azt követően lett beszerezve, a szolgáltatás automatikusan aktiválódik Önnek.

  • Ha az előfizetését 2018 februárja előtt szerezte be: A szolgáltatást önnek kell aktiválnia.

Az aktiválási állapot ellenőrzésével kapcsolatos további információkért lásd : A védelmi szolgáltatás aktiválása az Azure Information Protectionből.