De beveiligingsservice activeren vanuit Azure Information Protection

In dit artikel wordt beschreven hoe beheerders de Azure Rights Management-beveiligingsservice voor Azure Information Protection (AIP) kunnen activeren. Wanneer de beveiligingsservice wordt geactiveerd voor uw organisatie, kunnen beheerders en gebruikers belangrijke gegevens beveiligen met behulp van toepassingen en services die ondersteuning bieden voor deze oplossing voor gegevensbeveiliging. Beheer istrators kunnen ook beveiligde documenten en e-mailberichten beheren en bewaken die eigendom zijn van uw organisatie.

Deze configuratie-informatie in dit artikel is bedoeld voor beheerders die verantwoordelijk zijn voor een service die van toepassing is op alle gebruikers in een organisatie. Als u op zoek bent naar gebruikershulp en informatie voor het gebruik van de Rights Management-functionaliteit voor een specifieke toepassing of het openen van een bestand of e-mailbericht dat met rechten is beveiligd, gebruikt u de Help en richtlijnen die bij uw toepassing passen.

Zie de informatie over ondersteuningsopties en communitybronnen voor technische ondersteuning en andere vragen over de service.

Automatische activering voor Azure Rights Management

Wanneer u een serviceplan hebt dat Azure Rights Management omvat, hoeft u de service mogelijk niet te activeren:

  • Als uw abonnement met Azure Rights Management of Azure Information Protection eind februari 2018 of hoger is verkregen: de service wordt automatisch voor u geactiveerd. U hoeft de service alleen te activeren als u of een andere globale beheerder voor uw organisatie Azure Rights Management hebt gedeactiveerd.

  • Als uw abonnement met Azure Rights Management of Azure Information Protection vóór of tijdens februari 2018 is verkregen: Microsoft activeert de Azure Rights Management-service voor deze abonnementen als uw tenant Exchange Online gebruikt. Voor deze abonnementen wordt de service voor u geactiveerd, tenzij u ziet dat AutomaticServiceUpdateEnabled is ingesteld op false wanneer u Get-IRMConfiguration uitvoert.

Als geen van de vermelde scenario's op u van toepassing is, moet u de beveiligingsservice handmatig activeren.

De status van de beveiligingsservice activeren of bevestigen

Belangrijk

Activeer de beveiligingsservice niet als u Active Directory Rights Management Services (AD RMS) hebt geïmplementeerd voor uw organisatie. Meer informatie

Als u de beveiligingsservice wilt activeren, moet uw organisatie een serviceplan hebben dat de Azure Rights Management-service van Azure Information Protection omvat. Zie microsoft 365-licentierichtlijnen voor beveiliging en naleving voor meer informatie.

Wanneer de beveiligingsservice is geactiveerd, kunnen alle gebruikers in uw organisatie gegevensbeveiliging toepassen op hun documenten en e-mailberichten en kunnen alle gebruikers documenten en e-mailberichten openen (gebruiken) die door deze service zijn beveiligd. Als u wilt, kunt u echter beperken wie gegevensbeveiliging kan toepassen door onboarding-besturingselementen te gebruiken voor een gefaseerde implementatie. Zie de sectie Onboarding-besturingselementen configureren voor een gefaseerde implementatie in dit artikel voor meer informatie.

Beveiliging activeren via PowerShell

U moet PowerShell gebruiken om de Rights Management-beveiligingsservice (Azure RMS) te activeren. U kunt deze service niet meer activeren of deactiveren vanuit Azure Portal.

  1. Installeer de AIPService-module om de beveiligingsservice te configureren en te beheren. Zie De AIPService PowerShell-module installeren voor instructies.

  2. Voer vanuit een PowerShell-sessie Verbinding maken-AipService uit en geef desgevraagd de accountgegevens van global Beheer istrator op voor uw Azure Information Protection-tenant.

  3. Voer Get-AipService uit om te controleren of de beveiligingsservice is geactiveerd. De status Ingeschakeld bevestigt de activering; Uitgeschakeld geeft aan dat de service is gedeactiveerd.

  4. Voer Enable-AipService uit om de service te activeren.

Onboarding-besturingselementen configureren voor een gefaseerde implementatie

Als u niet wilt dat alle gebruikers documenten en e-mailberichten onmiddellijk kunnen beveiligen met behulp van Azure Information Protection, kunt u besturingselementen voor onboarding van gebruikers configureren met behulp van de set-AipServiceOnboardingControlPolicy PowerShell-opdracht. U kunt deze opdracht uitvoeren voor of nadat u de Azure Rights Management-service hebt geactiveerd.

Als u bijvoorbeeld in eerste instantie alleen beheerders in de groep IT-afdeling wilt (met een object-id van fbb99ded-32a0-45f1-b038-38b519009503) om inhoud te beveiligen voor testdoeleinden, gebruikt u de volgende opdracht:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Houd er rekening mee dat u voor deze configuratieoptie een groep moet opgeven; u kunt geen afzonderlijke gebruikers opgeven. Als u de object-id voor de groep wilt ophalen, kunt u Microsoft Graph PowerShell gebruiken, bijvoorbeeld voor versie 1.0 van de module, met de opdracht Get-MgGroup . U kunt ook de object-id-waarde van de groep kopiëren vanuit Azure Portal.

Als u er ook voor wilt zorgen dat alleen gebruikers met een juiste licentie voor het gebruik van Azure Information Protection inhoud kunnen beveiligen:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Wanneer u onboarding-besturingselementen niet meer hoeft te gebruiken, of u nu de groeps- of licentieoptie hebt gebruikt, voert u het volgende uit:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Zie de Help van Set-AipServiceOnboardingControlPolicy voor meer informatie over deze cmdlet en aanvullende voorbeelden.

Wanneer u deze besturingselementen voor onboarding gebruikt, kunnen alle gebruikers in de organisatie altijd beveiligde inhoud gebruiken die is beveiligd door uw subset van gebruikers, maar ze kunnen geen gegevensbeveiliging zelf toepassen vanuit clienttoepassingen. Toepassingen aan de serverzijde, zoals Exchange, kunnen hun eigen besturingselementen per gebruiker implementeren om hetzelfde resultaat te bereiken. Als u bijvoorbeeld wilt voorkomen dat gebruikers e-mailberichten in webversie van Outlook beveiligen, gebruikt u Set-OwaMailboxPolicy om de parameter IRMEnabled in te stellen op $false.

Volgende stappen

Nu de beveiligingsservice is geactiveerd voor uw organisatie, kunnen apps en services versleuteling toepassen om uw gegevens te beveiligen. Een van de eenvoudigste manieren om versleuteling toe te passen, is door vertrouwelijkheidslabels uit Microsoft Purview Informatiebeveiliging te gebruiken.