Förbereda användare och grupper för Azure Information Protection

Innan du distribuerar Azure Information Protection för din organisation kontrollerar du att du har konton för användare och grupper i Microsoft Entra-ID för organisationens klientorganisation.

Det finns olika sätt att skapa dessa konton för användare och grupper, bland annat:

• Du skapar användarna i Administrationscenter för Microsoft 365 och grupperna i administrationscentret för Exchange Online.

• Du skapar användare och grupper i Azure-portalen.

• Du skapar användare och grupper med hjälp av Azure AD PowerShell- och Exchange Online-cmdletar.

• Du skapar användare och grupper i din lokal Active Directory och synkroniserar dem med Microsoft Entra-ID.

• Du skapar användare och grupper i en annan katalog och synkroniserar dem med Microsoft Entra-ID.

När du skapar användare och grupper med hjälp av de tre första metoderna från den här listan, med ett undantag, skapas de automatiskt i Microsoft Entra-ID och Azure Information Protection kan använda dessa konton direkt. Många företagsnätverk använder dock en lokal katalog för att skapa och hantera användare och grupper. Azure Information Protection kan inte använda dessa konton direkt. du måste synkronisera dem med Microsoft Entra-ID.

Undantaget som anges i föregående stycke är dynamiska distributionslistor som du kan skapa för Exchange Online. Till skillnad från statiska distributionslistor replikeras inte dessa grupper till Microsoft Entra-ID och kan därför inte användas av Azure Information Protection.

Hur användare och grupper används av Azure Information Protection

Det finns tre scenarier för att använda användare och grupper med Azure Information Protection:

För att tilldela etiketter till användare när du konfigurerar Azure Information Protection-principen så att etiketter kan tillämpas på dokument och e-postmeddelanden. Endast administratörer kan välja dessa användare och grupper:

• Standardprincipen för Azure Information Protection tilldelas automatiskt till alla användare i klientorganisationens Microsoft Entra-ID. Du kan dock även tilldela ytterligare etiketter till angivna användare eller grupper med hjälp av begränsade principer.

För att tilldela användningsrättigheter och åtkomstkontroller när du använder Azure Rights Management-tjänsten för att skydda dokument och e-postmeddelanden. Administratörer och användare kan välja dessa användare och grupper:

• Användningsrättigheter avgör om en användare kan öppna ett dokument eller e-postmeddelande och hur de kan använda det. Till exempel om de bara kan läsa den eller läsa och skriva ut den eller läsa och redigera den.

• Åtkomstkontroller inkluderar ett förfallodatum och om en anslutning till Internet krävs för åtkomst.

För att konfigurera Azure Rights Management-tjänsten för att stödja specifika scenarier, och därför väljer endast administratörer dessa grupper. Exempel är att konfigurera följande:

• Superanvändare, så att utsedda tjänster eller personer kan öppna krypterat innehåll om det behövs för eDiscovery eller dataåterställning.

• Delegerad administration av Azure Rights Management-tjänsten.

• Registrering av kontroller för att stödja en stegvis distribution.

Krav för Azure Information Protection för användarkonton

För att tilldela etiketter:

• Alla användarkonton i Microsoft Entra-ID kan användas för att konfigurera begränsade principer som tilldelar ytterligare etiketter till användare.

För att tilldela användningsrättigheter och åtkomstkontroller och konfigurera Azure Rights Management-tjänsten:

• För att auktorisera användare används två attribut i Microsoft Entra-ID: proxyAddresses och userPrincipalName.

• Attributet Microsoft Entra proxyAddresses lagrar alla e-postadresser för ett konto och kan fyllas i på olika sätt. En användare i Microsoft 365 som har en Exchange Online-postlåda har till exempel automatiskt en e-postadress som lagras i det här attributet. Om du tilldelar en alternativ e-postadress till en Microsoft 365-användare sparas den också i det här attributet. Den kan också fyllas i av de e-postadresser som synkroniseras från lokala konton.

  Azure Information Protection kan använda valfritt värde i det här Microsoft Entra proxyAddresses-attributet, förutsatt att domänen har lagts till i din klientorganisation (en "verifierad domän"). Mer information om hur du verifierar domäner:

  • För Microsoft Entra-ID: Lägg till ett anpassat domännamn i Microsoft Entra-ID

  • För Office 365: Lägga till en domän i Office 365

• Attributet Microsoft Entra userPrincipalName används endast när ett konto i din klientorganisation inte har värden i attributet Microsoft Entra proxyAddresses. Du kan till exempel skapa en användare i Azure-portalen eller skapa en användare för Microsoft 365 som inte har någon postlåda.

Tilldela användningsrättigheter och åtkomstkontroller till externa användare

Förutom att använda Microsoft Entra proxyAddresses och Microsoft Entra userPrincipalName för användare i din klientorganisation använder Azure Information Protection även dessa attribut på samma sätt för att auktorisera användare från en annan klientorganisation.

Andra auktoriseringsmetoder:

• För e-postadresser som inte finns i Microsoft Entra-ID kan Azure Information Protection auktorisera dessa när de autentiseras med ett Microsoft-konto. Alla program kan dock inte öppna skyddat innehåll när ett Microsoft-konto används för autentisering. Mer information

• När ett e-postmeddelande skickas med office 365-meddelandekryptering med nya funktioner till en användare som inte har något konto i Microsoft Entra-ID autentiseras användaren först med hjälp av federation med en social identitetsprovider eller med hjälp av ett engångslösenord. Sedan används den e-postadress som anges i det skyddade e-postmeddelandet för att auktorisera användaren.

Krav för Azure Information Protection för gruppkonton

För att tilldela etiketter:

• Om du vill konfigurera omfångsprinciper som tilldelar ytterligare etiketter till gruppmedlemmar kan du använda alla typer av grupper i Microsoft Entra-ID som har en e-postadress som innehåller en verifierad domän för användarens klientorganisation. En grupp som har en e-postadress kallas ofta för en e-postaktiverad grupp.

  Du kan till exempel använda en e-postaktiverad säkerhetsgrupp, en statisk distributionsgrupp och en Microsoft 365-grupp. Du kan inte använda en säkerhetsgrupp (dynamisk eller statisk) eftersom den här grupptypen inte har någon e-postadress. Du kan inte heller använda en dynamisk distributionslista från Exchange Online eftersom den här gruppen inte replikeras till Microsoft Entra-ID.

För att tilldela användningsrättigheter och åtkomstkontroller:

• Du kan använda valfri typ av grupp i Microsoft Entra-ID som har en e-postadress som innehåller en verifierad domän för användarens klientorganisation. En grupp som har en e-postadress kallas ofta för en e-postaktiverad grupp.

För att konfigurera Azure Rights Management-tjänsten:

• Du kan använda valfri typ av grupp i Microsoft Entra-ID som har en e-postadress från en verifierad domän i din klientorganisation, med ett undantag. Det undantaget är när du konfigurerar registreringskontroller för att använda en grupp, som måste vara en säkerhetsgrupp i Microsoft Entra-ID för din klientorganisation.

• Du kan använda valfri grupp i Microsoft Entra-ID (med eller utan e-postadress) från en verifierad domän i klientorganisationen för delegerad administration av Azure Rights Management-tjänsten.

Tilldela användningsrättigheter och åtkomstkontroller till externa grupper

Förutom att använda Microsoft Entra proxyAddresses för grupper i din klientorganisation använder Azure Information Protection även det här attributet på samma sätt för att auktorisera grupper från en annan klientorganisation.

Använda konton från Active Directory lokalt för Azure Information Protection

Om du har konton som hanteras lokalt som du vill använda med Azure Information Protection måste du synkronisera dessa med Microsoft Entra-ID. För enkel distribution rekommenderar vi att du använder Microsoft Entra Anslut. Du kan dock använda valfri katalogsynkroniseringsmetod som uppnår samma resultat.

När du synkroniserar dina konton behöver du inte synkronisera alla attribut. En lista över de attribut som måste synkroniseras finns i avsnittet Azure RMS i Microsoft Entra-dokumentationen.

I attributlistan för Azure Rights Management ser du att för användare krävs de lokala AD-attributen för e-post, proxyAddresses och userPrincipalName för synkronisering. Värden för e-post och proxyAddresses synkroniseras med attributet Microsoft Entra proxyAddresses. Mer information finns i Hur attributet proxyAddresses fylls i i Microsoft Entra-ID

Bekräfta att dina användare och grupper är förberedda för Azure Information Protection

Du kan använda Azure AD PowerShell för att bekräfta att användare och grupper kan användas med Azure Information Protection. Du kan också använda PowerShell för att bekräfta de värden som kan användas för att auktorisera dem.

Om du till exempel använder V1 PowerShell-modulen för Microsoft Entra-ID, MSOnline, i en PowerShell-session, ansluter du först till tjänsten och anger dina autentiseringsuppgifter för global administratör:

Connect-MsolService

Obs! Om det här kommandot inte fungerar kan du köra Install-Module MSOnline för att installera MSOnline-modulen.

Konfigurera sedan PowerShell-sessionen så att den inte trunkerar värdena:

$Formatenumerationlimit =-1

Bekräfta att användarkonton är redo för Azure Information Protection

Bekräfta användarkontona genom att köra följande kommando:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Din första kontroll är att se till att de användare som du vill använda med Azure Information Protection visas.

Kontrollera sedan om kolumnen ProxyAddresses är ifylld. I så fall kan e-postvärdena i den här kolumnen användas för att auktorisera användaren för Azure Information Protection.

Om kolumnen ProxyAddresses inte är ifylld används värdet i UserPrincipalName för att auktorisera användaren för Azure Rights Management-tjänsten.

Till exempel:

I det här exemplet:

• Användarkontot för Jagannath Reddy kommer att auktoriseras av jagannathreddy@contoso.com.

• Användarkontot för Ankur Roy kan auktoriseras med hjälp ankur.roy@contoso.com av och ankur.roy@onmicrosoft.contoso.com, men inte ankurroy@contoso.com.

I de flesta fall matchar värdet för UserPrincipalName ett av värdena i fältet ProxyAddresses. Det här är den rekommenderade konfigurationen, men om du inte kan ändra ditt UPN så att det matchar e-postadressen måste du vidta följande steg:

1. Om domännamnet i UPN-värdet är en verifierad domän för din Microsoft Entra-klient lägger du till UPN-värdet som en annan e-postadress i Microsoft Entra-ID så att UPN-värdet nu kan användas för att auktorisera användarkontot för Azure Information Protection.

   Om domännamnet i UPN-värdet inte är en verifierad domän för din klientorganisation kan det inte användas med Azure Information Protection. Användaren kan dock fortfarande auktoriseras som medlem i en grupp när gruppens e-postadress använder ett verifierat domännamn.

2. Om UPN inte kan dirigeras (till exempel ankurroy@contoso.local) konfigurerar du alternativt inloggnings-ID för användare och instruerar dem hur de loggar in på Office med hjälp av den här alternativa inloggningen. Du måste också ange en registernyckel för Office.

   Med UPN-ändringar för användare sker en förlust av affärskontinuitet i minst 24 timmar eller tills UPN-ändringarna återspeglas korrekt i systemet.

   Mer information finns i Konfigurera alternativt inloggnings-ID och Office-appen frågor frågar regelbundet efter autentiseringsuppgifter till SharePoint, OneDrive och Lync Online.

Bekräfta att gruppkonton är redo för Azure Information Protection

Använd följande kommando för att bekräfta gruppkonton:

Get-MsolGroup | select DisplayName, ProxyAddresses

Kontrollera att de grupper som du vill använda med Azure Information Protection visas. För de grupper som visas kan e-postadresserna i kolumnen ProxyAddresses användas för att auktorisera gruppmedlemmarna för Azure Rights Management-tjänsten.

Kontrollera sedan att grupperna innehåller de användare (eller andra grupper) som du vill använda för Azure Information Protection. Du kan använda PowerShell för att göra detta (till exempel Get-MsolGroupMember) eller använda hanteringsportalen.

För de två konfigurationsscenarier för Azure Rights Management-tjänsten som använder säkerhetsgrupper kan du använda följande PowerShell-kommando för att hitta det objekt-ID och visningsnamn som kan användas för att identifiera dessa grupper. Du kan också använda Azure-portalen för att hitta dessa grupper och kopiera värdena för objekt-ID:t och visningsnamnet:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Överväganden för Azure Information Protection om e-postadresser ändras

Om du ändrar e-postadressen för en användare eller grupp rekommenderar vi att du lägger till den gamla e-postadressen som en andra e-postadress (även kallad proxyadress, alias eller alternativ e-postadress) till användaren eller gruppen. När du gör det läggs den gamla e-postadressen till i attributet Microsoft Entra proxyAddresses. Den här kontoadministrationen säkerställer affärskontinuitet för alla användningsrättigheter eller andra konfigurationer som sparades när den gamla e-postadressen användes.

Om du inte kan göra detta riskerar användaren eller gruppen med den nya e-postadressen att nekas åtkomst till dokument och e-postmeddelanden som tidigare skyddades med den gamla e-postadressen. I det här fallet måste du upprepa skyddskonfigurationen för att spara den nya e-postadressen. Om användaren eller gruppen till exempel har beviljats användningsrättigheter i mallar eller etiketter redigerar du mallarna eller etiketterna och anger den nya e-postadressen med samma användningsrättigheter som du gav till den gamla e-postadressen.

Observera att det är ovanligt att en grupp ändrar sin e-postadress och om du tilldelar användningsrättigheter till en grupp i stället för enskilda användare spelar det ingen roll om användarens e-postadress ändras. I det här scenariot tilldelas användningsrättigheterna till gruppens e-postadress och inte enskilda e-postadresser för användare. Det här är den mest sannolika (och rekommenderade) metoden för en administratör för att konfigurera användningsrättigheter som skyddar dokument och e-postmeddelanden. Användare kan dock vanligtvis tilldela anpassade behörigheter för enskilda användare. Eftersom du inte alltid vet om ett användarkonto eller en grupp har använts för att bevilja åtkomst är det säkrast att alltid lägga till den gamla e-postadressen som en andra e-postadress.

Cachelagring av gruppmedlemskap från Azure Information Protection

Av prestandaskäl cachelagrar Azure Information Protection gruppmedlemskap. Det innebär att alla ändringar av gruppmedlemskap i Microsoft Entra-ID kan ta upp till tre timmar att börja gälla när dessa grupper används av Azure Information Protection och den här tidsperioden kan komma att ändras.

Kom ihåg att ta med den här fördröjningen i eventuella ändringar eller tester som du gör när du använder grupper för att bevilja användningsrättigheter eller konfigurera Azure Rights Management-tjänsten, eller när du konfigurerar begränsade principer.

Nästa steg

När du har bekräftat att dina användare och grupper kan användas med Azure Information Protection och du är redo att börja skydda dokument och e-postmeddelanden kontrollerar du om du behöver aktivera Azure Rights Management-tjänsten. Den här tjänsten måste aktiveras innan du kan skydda organisationens dokument och e-postmeddelanden:

• Från och med februari 2018: Om din prenumeration som innehåller Azure Rights Management eller Azure Information Protection erhölls under eller efter den här månaden aktiveras tjänsten automatiskt åt dig.

• Om din prenumeration erhölls före februari 2018: Du måste aktivera tjänsten själv.

Mer information, som omfattar kontroll av aktiveringsstatus, finns i Aktivera skyddstjänsten från Azure Information Protection.