Microsoft 365 Business: Jak nakonfigurovat Azure Information Protection

Termín ochrana informací nebo IP se obecně používá k zahrnutí průmyslových standardů a osvědčených postupů pro ochranu informací před neoprávněným přístupem. V ekosystému Microsoftu je Azure Information Protection cloudová služba, která organizacím umožňuje klasifikovat data pomocí štítků pro řízení přístupu. Azure Information Protection lze zakoupit jako samostatnou licenci nebo v rámci řešení, jako je Microsoft 365 Business.

Zde je rozpis funkcí zahrnutých v každé ze čtyř verzí Azure Information Protection . Licence AIP Premium P1 je součástí Microsoft 365 Business.

Vývoj Azure Information Protection

Azure Information Protection prošla za posledních pár let vývojem a možná jste se s touto technologií setkali pod jiným názvem. Některé ze starých názvů této technologie jsou Azure Rights Management Service (Azure RMS), Azure Active Directory Rights Management (AADRM), Windows Azure Active Directory Rights Management, Information Rights Management (IRM) nebo pro některé jednoduše „Nový Microsoft RMS. “ Uděláte sobě i společnosti Microsoft velkou službu, když zapomenete na všechna ta stará jména a zůstanete u Azure Information Protection .

Nejnovější iterace této cloudové technologie nyní nabízí možnosti klasifikace a označování, které zase mohou použít správu práv k ochraně souborů. Azure Information Protection na vysoké úrovni chrání vaše data ve třech klíčových krocích:

Nejprve jsou data klasifikována a označena . Pokud je například dokument klasifikován jako důvěrný a měl by být dostupný pouze příjemcům e-mailu, štítek může být Důvěrné — Pouze příjemci.“

Dále jsou data chráněna pomocí šifrování, řízení přístupu a zásad založených na štítku. Pokračujeme v předchozím příkladu, dokument označený štítkem Důvěrné — Pouze příjemci bude zašifrován, aby jej mohli číst pouze příjemci.

Konečně lze dokumenty sledovat a v případě potřeby zrušit přístup. Z předchozího příkladu se může odesílatel e-mailu rozhodnout, že jeden z příjemců by již neměl mít přístup k dokumentu. V takovém případě může odesílatel zrušit přístup konkrétnímu uživateli.

Office 365 Message Encryption neboli OME je jednou z funkcí Azure Information Protection. Pokud vlastníte licenci AIP Premium P2, můžete využít dalších funkcí, jako je automatická klasifikace pro cloudová a místní data. Zde objevíte funkce dostupné v licenci AIP Premium P1.

Aktivace Azure Information Protection

Chcete-li začít používat Azure Information Protection, první věc, kterou musíte jako správce IT udělat, je aktivovat službu ve vašem tenantovi Microsoft 365 Business . I když si myslíte, že je služba již povolena, není na škodu ji ověřit. Zde je postup:

Přihlaste se k portálu pro správu společnosti Microsoft pomocí svých pověření globálního správce.

V levém navigačním panelu ve skupině Nastavení klikněte na Služby a doplňky.

Zobrazí se stránka Služby a doplňky.

Přejděte do nastavení Microsoft Azure Information Protection.

Vyberte Microsoft Azure Information Protection

Vpravo se zobrazí okno Microsoft Azure Information Protection.

V okně Microsoft Azure Information Protection klikněte na Spravovat nastavení ochrany informací Microsoft Azure.

Potvrďte, že je aktivována správa práv. Pokud tomu tak není, klikněte na tlačítko Aktivovat

V tomto příkladu je tenant již aktivován pro Azure Information Protection.

Tenant s aktivovanou správou práv.

Poté, co potvrdíte stav nastavení Azure Information Protection, můžete bezpečně zavřít okno prohlížeče nebo přejít zpět do centra pro správu Microsoft 365 ze spouštěče aplikací.

Seznámení se štítky Azure Information Protection

Azure Information Protection je předkonfigurována s výchozími zásadami a štítky, které jsou použitelné pro většinu organizací, včetně malých firem. Než začnete přemýšlet o konfiguraci vlastních štítků a zásad pro vaši organizaci, věnujte čas tomu, abyste se seznámili s výchozím nastavením Azure Information Protection. Můžete si ušetřit spoustu práce s vytvářením a testováním vlastních zásad.

Pokud byla vašemu tenantovi Office 365 zřízena Azure Information Protection po únoru 2018, jsou již k dispozici následující štítky a odpovídající popisy:

• Osobní: Neobchodní údaje, pouze pro osobní použití.
• Veřejné: Obchodní data, která jsou speciálně připravena a schválena pro veřejnou spotřebu.
• Obecné: Obchodní data, která nejsou určena pro veřejnou spotřebu, ale mohou být podle potřeby sdílena s externími partnery. Příklady zahrnují interní telefonní seznam společnosti, organizační schémata, interní normy a většinu interní komunikace.
• Důvěrné: Citlivá obchodní data, která by mohla způsobit poškození podniku, pokud by byla sdílena s neoprávněnými osobami. Příklady zahrnují smlouvy, bezpečnostní zprávy, souhrny prognóz a data prodejních účtů. Štítek Důvěrné se dále dělí na dva dílčí štítky:
  • Pouze příjemci: Důvěrná data, která vyžadují ochranu a která mohou zobrazit pouze příjemci. Tento štítek se zobrazí pouze v aplikaci Outlook a použije zásadu Nepřeposílat.
  • Všichni zaměstnanci: Důvěrná data, která vyžadují ochranu umožňující všem zaměstnancům plná oprávnění. Vlastníci dat mohou obsah sledovat a odvolat.
  • Kdokoli (nechráněno): Data, která nevyžadují ochranu. Používejte tuto možnost opatrně as náležitým obchodním odůvodněním.
• Vysoce důvěrné. Velmi citlivá obchodní data, která by způsobila poškození podniku, pokud by byla sdílena s neoprávněnými osobami. Příklady zahrnují informace o zaměstnancích a zákaznících, hesla, zdrojový kód a předem ohlášené finanční zprávy. Štítek Vysoce důvěrné se dále dělí na tři podštítky:
  • Pouze příjemci: Vysoce důvěrná data, která vyžadují ochranu a která mohou zobrazit pouze příjemci. Tento štítek se zobrazí pouze v aplikaci Outlook a použije zásadu Nepřeposílat.
  • Všichni zaměstnanci: Vysoce důvěrná data, která všem zaměstnancům umožňují prohlížet, upravovat a odpovídat na oprávnění k tomuto obsahu. Vlastníci dat mohou obsah sledovat a odvolat.
  • Kdokoli (nechráněno): Data, která nevyžadují ochranu. Používejte tuto možnost opatrně as náležitým obchodním odůvodněním.

Pokud byl váš tenant Office 365 zřízen před 21. březnem 2017, zjistíte, že chybí štítky Obecné a Vysoce důvěrné. Jejich ekvivalenty u starších nájemníků jsou Internal a Secret.

Chcete-li dále prozkoumat tyto štítky a odpovídající zásady, musíte přejít na Azure Portal a získat přístup k nastavení služby Azure Information Protection. Zde je postup:

Chcete-li aktivovat informace o ochraně Azure, postupujte podle kroků 1–4 výše.

Na stránce Správa práv klikněte na tlačítko Rozšířené funkce

Spustí se nové okno prohlížeče a zobrazí se stránka Azure Information Protection — Štítky.

Azure Information Protection – stránka štítků v Azure.

Štítky Důvěrné a Vysoce důvěrné jsou ve výchozím nastavení sbalené. Chcete-li zobrazit jejich dílčí štítky, kliknutím na šipku nalevo od štítku rozbalte výběr.

Pár slov o zásadách Azure Information Protection

Na stránce Azure Information Protection – štítky si všimněte, že všechny štítky mají ve sloupci Zásady globální . Ve výchozím nastavení se Azure Information Protection dodává s globální zásadou, která se vztahuje na všechny uživatele v tenantovi. Tuto zásadu můžete upravit, ale nemůžete ji smazat. Můžete také vytvářet nové zásady a konfigurovat je podle svých představ, ale globální zásady zde budou vždy.

Chcete-li zobrazit podrobnosti globálních zásad Azure Information Protection, postupujte takto:

Chcete-li aktivovat informace o ochraně Azure, postupujte podle kroků 1–4 výše.

Na stránce Správa práv klikněte na tlačítko Rozšířené funkce

Spustí se nové okno prohlížeče a zobrazí se stránka Azure Information Protection — Štítky.

V levé nabídce ve skupině Klasifikace klikněte na Zásady.

Vpravo je zobrazeno pole Konfigurovat administrativní název a popis pro každou politiku. Zobrazí se modul Politika: Globální.

Zásady: Globální blade v Azure Information Protection.

Při změně výchozího nastavení v globální zásadě buďte opatrní, protože je použitelná pro všechny ve vaší organizaci. Možná budete chtít nejprve vytvořit jinou zásadu a vyzkoušet ji. Pokud se rozhodnete změnit globální zásady, nezapomeňte změny uložit. (Pokud zapomenete a jednoduše zavřete blade, systém vás vyzve k uložení změn.)

Uvedení Azure Information Protection do akce

Implementace Azure Information Protection není něco, co byste dělali bez promyšleného plánování a zapojení klíčových zúčastněných stran ve vaší organizaci. Musíte se ujistit, že zavedení je sděleno koncovým uživatelům, poskytnuto školení a plánována podpora.

Jako správce IT implementující Microsoft 365 Business byste měli provést určité testování a seznámit se s procesem, než implementujete Azure Information Protection pro celou organizaci. Poté, co jste prozkoumali službu Azure Information Protection v Microsoft Azure, je dalším krokem uvést to, co znáte, do praxe. V této fázi potřebujete, aby se zapojili vaši koncoví uživatelé.

Instalace klienta Azure Information Protection

V Azure můžete mít ty nejlepší zásady a štítky pro Azure Information Protection, ale nebudou k ničemu, pokud je vaši koncoví uživatelé neuvidí a neuplatní je. Klient AIP, program, který běží na zařízení koncových uživatelů, řeší tento problém.

Před instalací klienta AIP se ujistěte, že Office ProPlus je již nainstalován, ale neběží v zařízení. Až budete připraveni nainstalovat klienta AIP, proveďte následující:

Přejděte na stránku pro stažení klienta Azure Information Protection .

Zobrazí se Microsoft Download Center.

Klikněte na tlačítko Stáhnout.

Zobrazí se okno Choose the Download You Want.

Vyberte AzInfoProtection.exe zaškrtnutím políčka a poté klikněte na Další.

Stažení klienta Azure Information Protection.

V oznámení, které se objeví ve spodní části obrazovky, klikněte (nebo dvakrát klikněte) na Spustit.

Systém při stahování provede bezpečnostní kontrolu. Po dokončení kontroly se zobrazí okno Microsoft Azure Information Protection.

Instalační okno pro Azure Information Protection.

Klikněte na tlačítko Souhlasím.

Můžete se rozhodnout nainstalovat demo zásadu (nedoporučuje se, protože zaplní vaše uživatelské rozhraní) nebo odeslat statistiky používání společnosti Microsoft nebo obojí.

V okně Řízení uživatelských účtů, které se zobrazí, spusťte instalaci kliknutím na Ano.

Uvidíte průběh instalace.

Když se v okně Microsoft Azure Information Protection zobrazí Dokončeno úspěšně, klikněte na tlačítko Zavřít.

Okno instalace zmizí a nyní jste připraveni zkontrolovat, zda byl klient Azure Information Protection úspěšně nainstalován. Chcete-li ověřit instalaci, otevřete prázdný dokument ve Wordu. Štítky vidíte pod pásem karet.

Štítky Azure Information Protection zobrazené ve Wordu.

Použití štítku na dokument

Nyní, když je nainstalován klient Azure Information Protection a štítky se zobrazují v aplikacích Office, je čas jej otestovat.

Vytvořte dokument aplikace Word a předstírejte, že je vysoce důvěrný.

Na panelu Citlivost klikněte na Vysoce důvěrné a vyberte Všichni zaměstnanci.

Použití štítku Vysoce důvěrné/Všichni zaměstnanci.

Štítek se použije a ostatní štítky zmizí.

Spusťte aplikaci Outlook, spusťte nový e-mail a připojte dokument aplikace Word.

Všimněte si, že Outlook zobrazuje panel Citlivost se stejnými popisky, jaké jste viděli ve Wordu.

Zadejte e-mailovou adresu uživatele ve vaší organizaci.

Zadejte e-mailovou adresu mimo vaši organizaci a klikněte na Odeslat.

Outlook odešle e-mail příjemcům se štítkem Vysoce důvěrné/Všichni zaměstnanci. V tomto cvičení bude e-mail stále odeslán internímu i externímu uživateli. Interní uživatel bude moci otevřít a přečíst dokument z pozvánky ke sdílení. Externímu uživateli však bude zablokováno otevření dokumentu a zobrazí se mu zde zobrazená zpráva.

Externí uživatel zablokován z citlivého dokumentu.

Zrušení přístupu k informacím

Azure Information Protection chrání informace vaší společnosti před tím, aby se dostaly do nesprávných rukou – i když se dostaly do nesprávných rukou.

Předpokládejme například, že si uvědomujete, že jste omylem odeslali dokument nesprávným lidem a chcete situaci napravit zrušením veškerého přístupu k dokumentu. Zde je to, co můžete udělat, pokračovat z příkladu výše:

Otevřete chráněný dokument aplikace Word z předchozího cvičení.

Zobrazí se žlutý pruh označující citlivost dokumentu a obsahující tlačítko pro zobrazení oprávnění pro daný dokument.

Na pásu karet klikněte na Domů a potom klikněte na tlačítko Chránit.

Pod tlačítkem Protect se zobrazí podnabídka.

Přístup k webu pro sledování dokumentů.

V podnabídce klikněte na Sledovat a zrušit pro spuštění webu pro sledování dokumentů.

Spustí se váš prohlížeč a přenese vás na web pro sledování dokumentů.

Pokud web navštěvujete poprvé, přihlaste se pomocí svých přihlašovacích údajů pro Microsoft 365 Business.

Po úspěšném přihlášení zobrazí stránka pro sledování dokumentů souhrn zobrazení vašeho dokumentu. Prozkoumejte karty a podívejte se na robustní funkce v Azure Information Protection.

Stránky pro sledování dokumentů.

V dolní části webu pro sledování dokumentů klikněte na tlačítko Zrušit přístup.

Zobrazí se stránka Zrušit přístup.

Klikněte na tlačítko Potvrdit v dolní části stránky.

Zobrazí se okno Revoke Complete.

Kliknutím na Pokračovat se vrátíte na stránku sledování dokumentů.

V zobrazení Souhrn se v dokumentu zobrazí razítko Odvoláno.

Jednou z funkcí, která je na tomto řešení nejúžasnější, je to, že na kartě Mapa můžete vidět, kde po celém světě se uživatelé pokusili získat přístup k vašemu dokumentu! Pokud tedy někdy zjistíte, že se někdo například z Ruska nebo Timbuktu pokusil otevřít váš dokument, přestože všichni vaši uživatelé jsou ve Spojených státech, budete vědět, že přístup k dokumentu by měl být odebrán.