使用 Azure Rights Management 服務來加密組織的內容之前,請先瞭解服務如何與 Microsoft Entra ID 中的使用者和群組帳戶搭配使用。
有不同的方式可以為使用者和群組建立這些帳戶,包括:
您可以在 Microsoft 365 系統管理中心建立使用者,並在 Exchange Online 系統管理中心建立群組。
您可以在 Azure 入口網站 中建立使用者和群組。
您可以使用 PowerShell Cmdlet 來建立使用者和群組。
您可以在內部部署的 Active Directory 中建立使用者和群組,並將其同步處理至 Microsoft Entra ID。
您可以在另一個目錄中建立使用者和群組,並將其同步處理至 Microsoft Entra ID。
當您使用此清單中的前三種方法建立使用者和群組時,除了一個例外狀況外,它們會自動在 Microsoft Entra ID 中建立,而 Azure Rights Management 服務可以直接使用這些帳戶。 不過,某些企業網路會使用內部部署目錄來建立和管理使用者和群組。 Azure Rights Management 服務無法直接使用這些帳戶;您必須將它們同步處理至 Microsoft Entra ID。
上一段中提到的例外狀況是您可以針對 Exchange Online 建立的動態通訊群組清單。 不同於靜態通訊群組清單,這些群組不會複寫至 Microsoft Entra ID,因此 Azure Rights Management 服務無法使用。
Azure Rights Management 服務如何使用使用者和群組
將使用者和群組與 Azure Rights Management 服務搭配使用有兩種案例:
當您使用 Azure Rights Management 服務加密文件和電子郵件時的加密設定。 管理員和使用者可以選取可以開啟加密內容的使用者和群組,此外:
決定他們如何使用內容的使用權限。 例如,他們是否只能閱讀它,或者閱讀並打印它,或者閱讀並編輯它。
存取控制包括到期日期以及是否需要連線到網際網路才能存取。
若要設定 Azure Rights Management 服務 以支援特定案例,因此只有系統管理員會選取這些群組。 範例包括設定下列項目:
超級用戶,以便指定的服務或人員可以在需要電子檔探索或數據恢復時打開加密內容。
Azure Rights Management 服務的委派管理。
上線控制項以支援分階段部署。
使用者帳戶的 Azure Rights Management 服務需求
針對加密設定,以及設定 Azure Rights Management 服務:
若要授權使用者,會使用 Microsoft Entra ID 中的兩個屬性:proxyAddresses 和 userPrincipalName。
Microsoft Entra proxyAddresses 屬性會儲存帳戶的所有電子郵件地址,而且可以以不同的方式填入。 例如,Microsoft 365 中具有 Exchange Online 信箱的使用者會自動具有儲存在此屬性中的電子郵件地址。 如果您為 Microsoft 365 使用者指派替代電子郵件地址,它也會儲存在此屬性中。 它也可以由從內部部署帳戶同步處理的電子郵件地址填入。
Azure Rights Management 服務可以使用此 Microsoft Entra proxyAddresses 屬性中的任何值,前提是網域已新增至租用戶 (「已驗證的網域」) 。 如需驗證網域的詳細資訊:
針對 Microsoft Entra ID:將自訂網域名稱新增至 Microsoft Entra ID
針對 Microsoft 365: 將網域新增至 Microsoft 365
只有在租用戶中的帳戶沒有 Microsoft Entra proxyAddresses 屬性中的值時,才會使用 Microsoft Entra userPrincipalName 屬性。 例如,您在 Azure 入口網站 中建立使用者,或為沒有信箱的 Microsoft 365 建立使用者。
外部使用者的加密設定
除了針對租用戶中的使用者使用 Microsoft Entra proxyAddresses 和 Microsoft Entra userPrincipalName 之外,Azure Rights Management 服務也會以相同的方式使用這些屬性來授權來自另一個租用戶的使用者。
其他授權方式:
對於不在 Microsoft Entra ID 中的電子郵件地址,Azure Rights Management 服務可以在使用 Microsoft 帳戶進行驗證時授權這些位址。 不過,當使用 Microsoft 帳戶進行驗證時,並非所有應用程式都可以開啟加密內容。
使用 Microsoft Purview 郵件加密將電子郵件傳送給 Microsoft Entra ID 中沒有帳戶的使用者時,會先使用與社交身分識別提供者的同盟或使用一次性密碼來驗證使用者。 然後,受保護電子郵件中指定的電子郵件地址將用於授權使用者。
群組帳戶的 Azure Rights Management 服務需求
若要指派使用權限和存取控制:
- 您可以在 Microsoft Entra ID 中使用任何類型的群組,其電子郵件地址包含使用者租用戶的已驗證網域。 具有電子郵件地址的群組通常稱為已啟用郵件的群組。
若要設定 Azure Rights Management 服務:
您可以在 Microsoft Entra ID 中使用任何類型的群組,這些群組具有來自租用戶中已驗證網域的電子郵件地址,但有一個例外狀況。 當您將上線控制項設定為使用群組時,該例外狀況是,該群組必須是租用戶 Microsoft Entra ID 中的安全性群組。
您可以使用 Microsoft Entra ID (中的任何群組,無論是否具有來自租用戶中已驗證網域的電子郵件地址) ,以委派管理 Azure Rights Management 服務。
外部群組的加密設定
除了針對租用戶中的群組使用 Microsoft Entra proxyAddresses 之外,Azure Rights Management 服務也會以相同的方式使用此屬性來授權來自另一個租用戶的群組。
使用內部部署 Active Directory 的帳戶
如果您有想要與 Azure Rights Management 服務搭配使用的內部部署管理帳戶,您必須將這些帳戶同步處理至 Microsoft Entra ID。 為了方便部署,建議您使用 Microsoft Entra Connect。 不過,您可以使用任何達到相同結果的目錄同步方法。
同步處理帳戶時,不需要同步處理所有屬性。 如需必須同步處理的屬性清單,請參閱 Microsoft Entra 檔中的 Azure RMS 一節。
從 Azure Rights Management 的屬性清單中,您會看到使用者需要同步處理的 mail、 proxyAddresses 和 userPrincipalName 的內部部署 AD 屬性。 mail 和 proxyAddresses 的值會同步處理至 Microsoft Entra proxyAddresses 屬性。 如需詳細資訊,請參閱如何在 Microsoft Entra ID 中填入 proxyAddresses 屬性
電子郵件地址變更時的考量事項
如果您變更使用者或群組的電子郵件地址,建議您將舊電子郵件地址新增為第二個電子郵件地址 (也稱為使用者或群組的 Proxy 位址、別名或備用電子郵件地址) 。 當您執行此動作時,舊的電子郵件地址會新增至 Microsoft Entra proxyAddresses 屬性。 此帳戶管理可確保使用舊電子郵件地址時儲存的任何使用權限或其他設定的業務連續性。
如果您無法執行此操作,則具有新電子郵件地址的使用者或群組可能會被拒絕存取先前使用舊電子郵件地址保護的文件和電子郵件。 在此情況下,您必須重複保護設定以儲存新的電子郵件地址。 例如,如果使用者或群組在範本或標籤中被授予使用權限,請編輯這些範本或標籤,並指定具有與您授予舊電子郵件地址相同的使用權限的新電子郵件地址。
請注意,群組很少會變更其電子郵件地址,如果您將使用權限指派給群組而不是個別使用者,則使用者的電子郵件地址是否變更並不重要。 在此案例中,使用權限會指派給群組電子郵件地址,而不是個別使用者電子郵件地址。 這是管理員設定保護文件和電子郵件的使用權限的最可能 (和建議的) 方法。 不過,使用者可能會更一般地為個別使用者指派自訂許可權。 由於您無法一律知道使用者帳戶或群組是否已用於授予存取權,因此最好始終將舊電子郵件地址新增為第二個電子郵件地址。
群組成員資格快取
基於效能考量,Azure Rights Management 服務會快取群組成員資格。 此快取表示當 Azure Rights Management 服務使用這些群組時,Microsoft Entra ID 中群組成員資格的任何變更最多可能需要三個小時才能生效,而且此時段可能會變更。
請記住,當您使用群組授與使用權限或設定 Azure Rights Management 服務時,請將此延遲納入您所做的任何變更或測試中。
後續步驟
當您確認您的使用者和群組可以與 Azure Rights Management 服務搭配使用時,請檢查您是否需要啟用 Azure Rights Management 服務:
從 2018 年 2 月開始:如果您的訂用帳戶包含 Azure Rights Management 或 Microsoft Purview 資訊保護 是在本月期間或之後取得,則會自動為您啟用服務。
如果您的訂閱是在 2018 年 2 月之前獲得的:您必須自行激活該服務。
如需詳細資訊,包括檢查啟用狀態,請參閱 啟用 Azure Rights Management 服務。