Aktivieren des Schutzdiensts von Azure Information Protection aus

In diesem Artikel wird beschrieben, wie Administratoren den Azure Rights Management-Schutzdienst für Azure Information Protection (AIP) aktivieren können. Sobald der Schutzdienst für Ihr Unternehmen aktiviert ist, können Administratoren und Benutzer damit beginnen, wichtige Daten zu schützen, indem sie Anwendungen und Dienste nutzen, die diese Informationsschutzlösung unterstützen. Administratoren können auch geschützte Dokumente und E-Mails im Besitz Ihrer Organisation verwalten und überwachen.

Diese Konfigurationsinformationen in diesem Artikel richten sich an Administratoren, die für einen Dienst verantwortlich sind, der für alle Benutzer in einer Organisation gilt. Wenn Sie nach Hilfe und Informationen zum Verwenden der Rights Management-Funktionalität für eine bestimmte Anwendung oder zum Öffnen einer rechtegeschützten Datei oder E-Mail suchen, sollten Sie die zu Ihrer Anwendung gehörigen Hilfefunktionen und Anleitungen verwenden.

Automatische Aktivierung für Azure Rights Management

Wenn Sie einen Serviceplan haben, der Azure Rights Management enthält, müssen Sie den Dienst möglicherweise nicht aktivieren:

  • Wenn Ihr Abonnement, das Azure Rights Management oder Azure Information Protection umfasst, gegen Ende Februar 2018 oder später abgeschlossen wurde: Der Dienst wird automatisch für Sie aktiviert. Sie müssen den Dienst nur dann aktivieren, wenn Azure Rights Management von Ihnen oder einem anderen globalen Administrator Ihrer Organisation deaktiviert wurde.

  • Wenn Ihr Abonnement, das Azure Rights Management oder Azure Information Protection umfasst, vor oder im Februar 2018 abgeschlossen wurde: Microsoft aktiviert den Azure Rights Management-Dienst für diese Abonnements, wenn Ihr Mandant Exchange Online verwendet. Für diese Abonnements wird der Dienst für Sie aktiviert, es sei denn, Sie sehen, dass AutomaticServiceUpdateEnabled auf false gesetzt ist, wenn Sie Get-IRMConfiguration ausführen.

Wenn keines der genannten Szenarien auf Sie zutrifft, müssen Sie den Schutzdienst manuell aktivieren.

So aktivieren oder bestätigen Sie den Status des Schutzdienstes

Wichtig

Aktivieren Sie den Schutzdienst nicht, wenn Sie die Active Directory Rights Management Services (AD RMS) für Ihr Unternehmen einsetzen. Weitere Informationen

Zum Aktivieren des Schutzdiensts muss Ihre Organisation über einen Serviceplan verfügen, in dem der Azure Rights Management-Dienst aus Azure Information Protection enthalten ist. Weitere Informationen finden Sie unter Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Wenn der Schutzdienst aktiviert ist, können alle Benutzer in Ihrer Organisation den Informationsschutz auf ihre Dokumente und E-Mails anwenden, und alle Benutzer können Dokumente und E-Mails öffnen (konsumieren), die durch diesen Dienst geschützt wurden. Wer den Informationsschutz anwenden kann, können Sie jedoch auch über Onboarding-Steuerelemente für eine schrittweise Bereitstellung einschränken, wenn Ihnen das lieber ist. Weitere Informationen finden Sie im Abschnitt Konfigurieren von Onboarding-Steuerelementen für eine schrittweise Bereitstellung in diesem Artikel.

Aktivieren des Schutzes über PowerShell

Zum Aktivieren des Rights Management-Schutzdiensts (Azure RMS) müssen Sie PowerShell verwenden. Sie können diesen Dienst nicht mehr über das Azure-Portal aktivieren oder deaktivieren.

  1. Installieren Sie das Modul AIPService, um den Schutzdienst zu konfigurieren und zu verwalten. Anweisungen finden Sie unter Installation des AIPService PowerShell-Moduls.

  2. Führen Sie in einer PowerShell-Sitzung Connect-AipService aus und geben Sie nach Aufforderung die globalen Administrator-Kontodetails für Ihren Azure Information Protection-Mandant an.

  3. Führen Sie Get-AipService aus, um zu überprüfen, ob der Schutzdienst aktiviert ist. Der Status Aktiviert bestätigt die Aktivierung; Deaktiviert zeigt an, dass der Dienst deaktiviert ist.

  4. Um den Dienst zu aktivieren, führen Sie Enable-AipService aus.

Konfigurieren von Onboarding-Steuerelementen für eine schrittweise Bereitstellung

Wenn Sie nicht möchten, dass alle Benutzer sofort in der Lage sind, Dokumente und E-Mails mit Azure Information Protection zu schützen, können Sie Benutzer-Onboarding-Kontrollen mit dem Set-AipServiceOnboardingControlPolicy PowerShell-Befehl konfigurieren. Sie können diesen Befehl vor oder nach der Aktivierung des Azure Rights Management-Diensts ausführen.

Wenn z. B. zunächst nur Administratoren in der Gruppe „IT-Abteilung“ (mit der Objekt-ID fbb99ded-32a0-45f1-b038-38b519009503) in der Lage sein sollen, Inhalte zu Testzwecken zu schützen, verwenden Sie den folgenden Befehl:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Beachten Sie, dass Sie für diese Konfigurationsoption eine Gruppe angeben müssen. Sie können keine einzelnen Benutzer angeben. Die Objekt-ID der Gruppe können Sie über Microsoft Graph PowerShell abrufen, z. B. für Version 1.0 des Moduls mit dem Befehl Get-MgGroup. Sie können den Wert Objekt-ID der Gruppe auch aus dem Azure-Portal kopieren.

Wenn Sie alternativ sicherstellen möchten, dass nur Benutzer, die ordnungsgemäß für die Verwendung von Azure Information Protection lizenziert sind, Inhalte schützen können:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Wenn Sie keine Onboarding-Steuerelemente mehr verwenden müssen, unabhängig davon, ob Sie die Gruppen- oder Lizenzierungsoption verwendet haben, führen Sie Folgendes aus:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Weitere Informationen zu diesem Cmdlet und zusätzliche Beispiele finden Sie in der Set-AipServiceOnboardingControlPolicy-Hilfe.

Wenn Sie diese Onboarding-Steuerelemente verwenden, können alle Benutzer in der Organisation immer geschützte Inhalte nutzen, die von Ihrer Teilmenge von Benutzern geschützt wurden, aber sie können den Informationsschutz nicht selbst aus Clientanwendungen anwenden. Serverseitige Anwendung wie z. B. Exchange können eigene Steuerelemente pro Benutzer implementieren, um das gleiche Ergebnis zu erzielen. Um beispielsweise zu verhindern, dass Benutzer E-Mails in Outlook im Web schützen, verwenden Sie Set-OwaMailboxPolicy, um den Parameter IRMEnabled auf $false zu setzen.

Nächste Schritte

Nachdem der Schutzdienst für Ihre Organisation nun aktiviert ist, können Apps und Dienste Ihre Daten durch Verschlüsselung schützen. Eine der einfachsten Methoden zum Anwenden der Verschlüsselung ist die Verwendung von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection.