Aktivieren des Schutzdiensts von Azure Information Protection

In diesem Artikel wird beschrieben, wie Administratoren den Azure Rights Management-Schutzdienst für Azure Information Protection (AIP) aktivieren können. Sobald der Schutzdienst für Ihr Unternehmen aktiviert ist, können Administratoren und Benutzer damit beginnen, wichtige Daten zu schützen, indem sie Anwendungen und Dienste nutzen, die diese Informationsschutzlösung unterstützen. Administratoren können außerdem geschützte Dokumente und E-Mails, die Ihrer Organisation gehören, verwalten und überwachen.

Diese Konfigurationsinformationen in diesem Artikel gelten für Administratoren, die für einen Dienst verantwortlich sind, der für alle Benutzer in einer Organisation gilt. Wenn Sie Hilfe und Informationen zur Verwendung der Rights Management-Funktionen für eine bestimmte Anwendung oder zum Öffnen einer Datei oder E-Mail suchen, die mit Rechten geschützt ist, verwenden Sie die zur Anwendung gehörende Hilfe und Anleitungen.

Technischen Support und Antworten auf Fragen zum Dienst finden Sie unter Support options and community resources (Supportoptionen und Communityressourcen).

Automatische Aktivierung für Azure Rights Management

Wenn Sie einen Serviceplan haben, der Azure Rights Management enthält, müssen Sie den Dienst möglicherweise nicht aktivieren:

  • Wenn Ihr Abonnement, das Azure Rights Management oder Azure Information Protection umfasst, gegen Ende Februar 2018 oder später abgeschlossen wurde: Der Dienst wird automatisch für Sie aktiviert. Sie müssen den Dienst nur dann aktivieren, wenn Sie oder ein anderer globaler Administrator Ihrer Organisation Azure Rights Management deaktiviert hat.

  • Wenn Ihr Abonnement, das Azure Rights Management oder Azure Information Protection umfasst, vor oder im Februar 2018 abgeschlossen wurde: Microsoft aktiviert den Azure Rights Management-Dienst für diese Abonnements, wenn Ihr Mandant Exchange Online verwendet. Für diese Abonnements wird der Dienst für Sie aktiviert, es sei denn, Sie sehen, dass AutomaticServiceUpdateEnabled auf false gesetzt ist, wenn Sie Get-IRMConfiguration ausführen.

Wenn keines der genannten Szenarien auf Sie zutrifft, müssen Sie den Schutzdienst manuell aktivieren.

So aktivieren oder bestätigen Sie den Status des Schutzdienstes

Wichtig

Aktivieren Sie den Schutzdienst nicht, wenn Sie die Active Directory Rights Management Services (AD RMS) für Ihr Unternehmen einsetzen. Weitere Informationen

Um den Schutzdienst zu aktivieren, muss Ihre Organisation über einen Dienstplan verfügen, der den Azure Rights Management-Dienst aus Azure Information Protection enthält. Weitere Informationen finden Sie unter Microsoft 365-Lizenzierungsleitfäden für die Sicherheitskonformität&.

Wenn der Schutzdienst aktiviert ist, können alle Benutzer in Ihrer Organisation den Informationsschutz auf ihre Dokumente und E-Mails anwenden, und alle Benutzer können Dokumente und E-Mails öffnen (konsumieren), die durch diesen Dienst geschützt wurden. Bei Bedarf können Sie jedoch einschränken, wer Informationsschutz anwenden kann, indem Sie Onboardingsteuerungsrichtlinien für eine in Phasen vorgenommene Bereitstellung verwenden. Weitere Informationen finden Sie im Abschnitt Konfigurieren von Onboarding-Steuerelementen für eine stufenweise Bereitstellung in diesem Artikel.

Aktivieren des Schutzes über PowerShell

Sie müssen PowerShell verwenden, um den Rights Management Protection-Dienst (Azure RMS) zu aktivieren. Sie können diesen Dienst nicht mehr aus dem Azure-Portal aktivieren oder deaktivieren.

  1. Installieren Sie das Modul AIPService, um den Schutzdienst zu konfigurieren und zu verwalten. Anweisungen finden Sie unter Installation des AIPService PowerShell-Moduls.

  2. Führen Sie in einer PowerShell-Sitzung Connect-AipService aus und geben Sie nach Aufforderung die globalen Administrator-Kontodetails für Ihren Azure Information Protection-Mandant an.

  3. Führen Sie Get-AipService aus, um zu überprüfen, ob der Schutzdienst aktiviert ist. Falls als Status Aktiviert angezeigt wird, wurde der Dienst aktiviert. Bei Deaktiviert wurde der Dienst deaktiviert.

  4. Um den Dienst zu aktivieren, führen Sie Enable-AipService aus.

Konfigurieren der Onboardingsteuerungsrichtlinien für eine Bereitstellung in Phasen

Wenn Sie nicht möchten, dass alle Benutzer sofort in der Lage sind, Dokumente und E-Mails mit Azure Information Protection zu schützen, können Sie Benutzer-Onboarding-Kontrollen mit dem Set-AipServiceOnboardingControlPolicy PowerShell-Befehl konfigurieren. Sie können diesen Befehl ausführen, bevor oder nachdem Sie den Azure Rights Management-Dienst aktivieren.

Wenn Sie beispielsweise möchten, dass zunächst nur Administratoren der Gruppe "IT-Abteilung" (die die Objekt-ID "fbb99ded-32a0-45f1-b038-38b519009503" hat) in der Lage sein sollen, Inhalte zu Testzwecken zu schützen, verwenden Sie den folgenden Befehl:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Beachten Sie, dass Sie für diese Konfigurationsoption eine Gruppe angeben müssen. Sie können keine einzelnen Benutzer angeben. Verwenden Sie Azure AD PowerShell, um die Objekt-ID für die Gruppe zu erhalten – z.b. den Befehl Get-MsolGroup, für Version 1.0 des Moduls. Oder Sie können den Objekt-ID-Wert der Gruppe aus dem Azure-Portal kopieren.

Oder Sie möchten sicherstellen, dass nur Benutzer, die ordnungsgemäß für die Verwendung von Azure Information Protection lizenziert sind, Inhalte schützen können:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Wenn Sie nicht länger Onboarding-Steuerelemente verwenden müssen, egal, ob Sie eine Gruppen- oder Lizenzierungsoption verwendet haben, führen Sie Folgendes aus:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Weitere Informationen zu diesem Cmdlet und zusätzliche Beispiele finden Sie in der Set-AipServiceOnboardingControlPolicy-Hilfe.

Wenn Sie diese Onboarding-Steuerelemente verwenden, können alle Benutzer in der Organisation immer geschützte Inhalte nutzen, die durch Ihre Teilmenge von Benutzern geschützt wurde, können aber Informationsschutz aus Clientanwendungen nicht selbst anwenden. Serverseitige Anwendung wie z. B. Exchange können eigene Steuerelemente pro Benutzer implementieren, um das gleiche Ergebnis zu erzielen. Sie können beispielsweise verhindern, dass Benutzer E-Mails in Outlook im Web schützen, indem Sie Set-OwaMailboxPolicy verwenden, um den Parameter IRMEnabled auf $false zu setzen.

Nächste Schritte

Nachdem der Schutzdienst für Ihre Organisation aktiviert ist, können Apps und Dienste Verschlüsselung anwenden, um Ihre Daten zu schützen. Eine der einfachsten Möglichkeiten zum Anwenden der Verschlüsselung ist die Verwendung von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection.