Udostępnij za pośrednictwem


Likwidowanie i dezaktywowanie ochrony usługi Azure Information Protection

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.

Zawsze kontrolujesz, czy twoja organizacja chroni zawartość przy użyciu usługi Azure Rights Management z usługi Azure Information Protection. Jeśli zdecydujesz, że nie chcesz już używać tej usługi ochrony informacji, masz zapewnienie, że nie zostanie Ci zablokowany dostęp do zawartości, która była przedtem chroniona.

Jeśli nie musisz mieć ciągłego dostępu do wcześniej chronionej zawartości, dezaktywuj usługę i zaczekaj, aż subskrypcja usługi Azure Information Protection wygaśnie. Takie rozwiązanie byłoby na przykład odpowiednie w sytuacji, gdy testowanie usługi Azure Information Protection zakończyło się przed wdrożeniem jej w środowisku produkcyjnym.

Jeśli jednak wdrożono usługę Azure Information Protection w dokumentach i wiadomościach e-mail w środowisku produkcyjnym i chronionym, przed dezaktywacją usługi Azure Rights Management upewnij się, że masz kopię klucza dzierżawy usługi Azure Information Protection i odpowiednią zaufaną domenę publikowania (TPD). Upewnij się, że masz kopię klucza i tpD przed wygaśnięciem subskrypcji, aby upewnić się, że możesz zachować dostęp do zawartości chronionej przez usługę Azure Rights Management po dezaktywowaniu usługi.

Jeśli użyto rozwiązania byOK (Bring Your Own Key Solution), w którym generujesz własny klucz w module HSM i zarządzasz nim, masz już klucz dzierżawy usługi Azure Information Protection. Odpowiedni moduł TPD będzie również dostępny, jeśli wykonano instrukcje, które przygotowują się do przyszłego wyjścia z chmury. Jeśli jednak klucz dzierżawy był zarządzany przez firmę Microsoft (ustawienie domyślne), zapoznaj się z instrukcjami dotyczącymi eksportowania klucza dzierżawy w operacjach dla klucza dzierżawy usługi Azure Information Protection.

Napiwek

Nawet po wygaśnięciu subskrypcji dzierżawa usługi Azure Information Protection pozostaje dostępna do korzystania z zawartości przez dłuższy czas. Nie będzie można jednak wyeksportować klucza dzierżawy.

Jeśli masz klucz dzierżawy usługi Azure Information Protection i tpD, możesz wdrożyć usługę Rights Management lokalnie (AD RMS) i zaimportować klucz dzierżawy jako zaufaną domenę publikacji (TPD). Następnie dostępne są następujące opcje likwidowania wdrożenia usługi Azure Information Protection:

Jeśli dotyczy to Ciebie ... … wykonaj następujące czynności:
Chcesz, aby wszyscy użytkownicy nadal używali usługi Rights Management, ale używali rozwiązania lokalnego zamiast korzystać z usługi Azure Information Protection → Przekieruj klientów do wdrożenia lokalnego przy użyciu klucza rejestru LicensingRedirection dla pakietu Office 2016 lub Office 2013. Aby uzyskać instrukcje, zobacz sekcję odnajdywania usług w informacjach dotyczących wdrażania klienta usługi RMS.
Chcesz całkowicie przestać korzystać z technologii Rights Management → Udziel wyznaczonym administratorom uprawnień administratora i zainstaluj klienta usługi Azure Information Protection dla tego użytkownika.

Ten administrator może następnie użyć modułu programu PowerShell z tego klienta do zbiorczego odszyfrowywania plików w folderach chronionych przez usługę Azure Information Protection. Pliki są przywracane do niechronionego i dlatego można je odczytywać bez technologii Rights Management, takiej jak Azure Information Protection lub AD RMS. Ponieważ ten moduł programu PowerShell może być używany zarówno z usługami Azure Information Protection, jak i AD RMS, możesz wybrać opcję odszyfrowywania plików przed lub po dezaktywowaniu usługi ochrony z usługi Azure Information Protection lub kombinacji.
Nie można zidentyfikować wszystkich plików chronionych przez usługę Azure Information Protection. Możesz też chcieć, aby wszyscy użytkownicy mogli automatycznie odczytywać wszystkie pominięte pliki chronione → Wdróż ustawienie rejestru na wszystkich komputerach klienckich przy użyciu klucza rejestru LicensingRedirection dla pakietu Office 2016 i pakietu Office 2013, zgodnie z opisem w sekcji odnajdywania usług w uwagach dotyczących wdrażania klienta usługi RMS.
Potrzebujesz kontrolowanej, ręcznej usługi odzyskiwania dla wszystkich plików, które zostały pominięte → Udziel wyznaczonym użytkownikom uprawnień administratora grupy odzyskiwania danych i zainstaluj klienta usługi Azure Information Protection dla tych użytkowników, aby mogli wyłączyć ochronę plików, gdy ta akcja jest żądana przez użytkowników standardowych.

Na wszystkich komputerach wdróż ustawienie rejestru, aby uniemożliwić użytkownikom ochronę nowych plików przez ustawienie DisableCreation na 1, zgodnie z opisem w Ustawienia rejestru pakietu Office.

Aby uzyskać więcej informacji na temat procedur w tej tabeli, zobacz następujące zasoby:

Gdy wszystko będzie gotowe do dezaktywowania usługi ochrony z usługi Azure Information Protection, skorzystaj z poniższych instrukcji.

Dezaktywowanie usługi ochrony

Aby dezaktywować usługę ochrony z usługi Azure Information Protection, należy użyć programu PowerShell. Nie można już aktywować ani dezaktywować tej usługi z poziomu portali administracyjnych.

  1. Zainstaluj moduł AIPService, aby skonfigurować usługę ochrony i zarządzać nią. Aby uzyskać instrukcje, zobacz Instalowanie modułu AIPService programu PowerShell.

  2. W sesji programu PowerShell uruchom polecenie Połączenie-AipService, a po wyświetleniu monitu podaj szczegóły konta globalnego Administracja istratora dla dzierżawy usługi Azure Information Protection.

  3. Uruchom polecenie Get-AipService , aby potwierdzić bieżący stan usługi ochrony. Stan Włączone potwierdza aktywację; Wyłączone wskazuje, że usługa jest dezaktywowana.

  4. Aby dezaktywować usługę, uruchom polecenie Disable-AipService.

  5. Uruchom ponownie polecenie Get-AipService , aby potwierdzić, że usługa ochrony jest teraz dezaktywowana. Tym razem stan powinien być wyświetlany jako Wyłączony.

  6. Uruchom polecenie Disconnect-AipService , aby odłączyć się od usługi i zamknąć sesję programu PowerShell.