Udostępnij za pośrednictwem


Aktywowanie usługi ochrony z poziomu usługi Azure Information Protection

W tym artykule opisano, jak administratorzy mogą aktywować usługę ochrony usługi Azure Rights Management dla usługi Azure Information Protection (AIP). Po aktywowaniu usługi ochrony dla organizacji administratorzy i użytkownicy mogą zacząć chronić ważne dane przy użyciu aplikacji i usług, które obsługują to rozwiązanie do ochrony informacji. Administracja istratorzy mogą również zarządzać chronionymi dokumentami i wiadomościami e-mail, które są właścicielami organizacji i monitorować je.

Te informacje o konfiguracji w tym artykule dotyczą administratorów, którzy są odpowiedzialni za usługę, która ma zastosowanie do wszystkich użytkowników w organizacji. Jeśli szukasz pomocy użytkownika i informacji dotyczących korzystania z funkcji usługi Rights Management dla określonej aplikacji lub sposobu otwierania pliku lub wiadomości e-mail chronionej prawami, skorzystaj z pomocy i wskazówek dołączonych do aplikacji.

Automatyczna aktywacja usługi Azure Rights Management

Jeśli masz plan usługi obejmujący usługę Azure Rights Management, może nie być konieczne aktywowanie usługi:

  • Jeśli subskrypcja obejmująca usługę Azure Rights Management lub Azure Information Protection została uzyskana pod koniec lutego 2018 r. lub nowszej: usługa zostanie automatycznie aktywowana. Nie musisz aktywować usługi, chyba że użytkownik lub inny administrator globalny twojej organizacji zdezaktywował usługę Azure Rights Management.

  • Jeśli subskrypcja obejmująca usługę Azure Rights Management lub Azure Information Protection została uzyskana przed lub w lutym 2018 r.: firma Microsoft aktywuje usługę Azure Rights Management dla tych subskrypcji, jeśli dzierżawa korzysta z usługi Exchange Online. W przypadku tych subskrypcji usługa zostanie aktywowana, chyba że zobaczysz, że ustawienie AutomaticServiceUpdateEnabled ma wartość false po uruchomieniu polecenia Get-IRMConfiguration.

Jeśli żaden z wymienionych scenariuszy nie ma zastosowania do Ciebie, musisz ręcznie aktywować usługę ochrony.

Jak aktywować lub potwierdzić stan usługi ochrony

Ważne

Nie należy aktywować usługi ochrony, jeśli wdrożono usługę Usługi Active Directory Rights Management (AD RMS) dla organizacji. Więcej informacji

Aby aktywować usługę ochrony, organizacja musi mieć plan usługi obejmujący usługę Azure Rights Management z usługi Azure Information Protection. Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące licencjonowania platformy Microsoft 365 dotyczące zabezpieczeń i zgodności.

Po aktywowaniu usługi ochrony wszyscy użytkownicy w organizacji mogą stosować ochronę informacji do swoich dokumentów i wiadomości e-mail, a wszyscy użytkownicy mogą otwierać (używać) dokumentów i wiadomości e-mail chronionych przez tę usługę. Jeśli jednak wolisz, możesz ograniczyć, kto może stosować ochronę informacji, używając kontrolek dołączania do wdrożenia etapowego. Aby uzyskać więcej informacji, zobacz sekcję Konfigurowanie kontrolek dołączania do wdrożenia etapowego w tym artykule.

Aktywowanie ochrony za pomocą programu PowerShell

Należy użyć programu PowerShell, aby aktywować usługę ochrony usługi Rights Management (Azure RMS). Nie można już aktywować ani dezaktywować tej usługi w witrynie Azure Portal.

  1. Zainstaluj moduł AIPService, aby skonfigurować usługę ochrony i zarządzać nią. Aby uzyskać instrukcje, zobacz Instalowanie modułu AIPService programu PowerShell.

  2. W sesji programu PowerShell uruchom polecenie Połączenie-AipService, a po wyświetleniu monitu podaj szczegóły konta globalnego Administracja istratora dla dzierżawy usługi Azure Information Protection.

  3. Uruchom polecenie Get-AipService , aby potwierdzić, czy usługa ochrony została aktywowana. Stan Włączone potwierdza aktywację; Wyłączone wskazuje, że usługa jest dezaktywowana.

  4. Aby aktywować usługę, uruchom polecenie Enable-AipService.

Konfigurowanie kontrolek dołączania do wdrożenia etapowego

Jeśli nie chcesz, aby wszyscy użytkownicy mogli natychmiast chronić dokumenty i wiadomości e-mail przy użyciu usługi Azure Information Protection, możesz skonfigurować kontrolki dołączania użytkowników przy użyciu polecenia Set-AipServiceOnboardingControlPolicy programu PowerShell. To polecenie można uruchomić przed aktywowanie usługi Azure Rights Management lub po jej aktywowaniu.

Jeśli na przykład początkowo chcesz, aby tylko administratorzy w grupie "Dział IT" (z identyfikatorem obiektu fbb99ded-32a0-45f1-b038-38b519009503) mogli chronić zawartość do celów testowych, użyj następującego polecenia:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Należy pamiętać, że w przypadku tej opcji konfiguracji należy określić grupę; nie można określić poszczególnych użytkowników. Aby uzyskać identyfikator obiektu dla grupy, możesz użyć programu Microsoft Graph PowerShell — na przykład w wersji 1.0 modułu, użyj polecenia Get-MgGroup . Możesz również skopiować wartość Identyfikator obiektu grupy z witryny Azure Portal.

Alternatywnie, jeśli chcesz mieć pewność, że tylko użytkownicy, którzy mają prawidłową licencję na korzystanie z usługi Azure Information Protection, mogą chronić zawartość:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Jeśli nie musisz już używać kontrolek dołączania, niezależnie od tego, czy użyto opcji grupy, czy licencjonowania, uruchom polecenie:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Aby uzyskać więcej informacji na temat tego polecenia cmdlet i dodatkowych przykładów, zobacz pomoc Set-AipServiceOnboardingControlPolicy .

W przypadku korzystania z tych kontrolek dołączania wszyscy użytkownicy w organizacji zawsze mogą korzystać z chronionej zawartości chronionej chronionej przez podzbiór użytkowników, ale nie będą mogli stosować ochrony informacji samodzielnie z aplikacji klienckich. Aplikacje po stronie serwera, takie jak Exchange, mogą implementować własne kontrolki dla poszczególnych użytkowników, aby osiągnąć ten sam wynik. Aby na przykład uniemożliwić użytkownikom ochronę wiadomości e-mail w Outlook w sieci Web, użyj polecenia Set-OwaMailboxPolicy, aby ustawić parametr IRMEnabled na $false.

Następne kroki

Po aktywowaniu usługi ochrony dla organizacji aplikacje i usługi mogą stosować szyfrowanie w celu ochrony danych. Jednym z najprostszych sposobów stosowania szyfrowania jest użycie etykiet poufności z usługi Microsoft Purview Information Protection.