Partilhar via


Ativando o serviço de proteção da Proteção de Informações do Azure

Este artigo descreve como os administradores podem ativar o serviço de proteção do Azure Rights Management para a Proteção de Informações do Azure (AIP). Quando o serviço de proteção é ativado para sua organização, os administradores e usuários podem começar a proteger dados importantes usando aplicativos e serviços que oferecem suporte a essa solução de proteção de informações. Os administradores também podem gerenciar e monitorar documentos e e-mails protegidos que sua organização possui.

Essas informações de configuração neste artigo são para administradores que são responsáveis por um serviço que se aplica a todos os usuários em uma organização. Se você estiver procurando ajuda e informações do usuário para usar a funcionalidade Rights Management para um aplicativo específico ou como abrir um arquivo ou email protegido por direitos, use a ajuda e as orientações que acompanham seu aplicativo.

Ativação automática para o Azure Rights Management

Quando tiver um plano de serviço que inclua o Azure Rights Management, poderá não ter de ativar o serviço:

  • Se a sua subscrição que inclui o Azure Rights Management ou a Proteção de Informações do Azure tiver sido obtida no final de fevereiro de 2018 ou posterior: o serviço é ativado automaticamente para si. Não é necessário ativar o serviço, a menos que você ou outro administrador global da sua organização tenha desativado o Azure Rights Management.

  • Se a sua subscrição que inclui o Azure Rights Management ou a Proteção de Informações do Azure tiver sido obtida antes ou durante fevereiro de 2018: a Microsoft ativa o serviço Azure Rights Management para estas subscrições se o seu inquilino estiver a utilizar o Exchange Online. Para essas assinaturas, o serviço será ativado para você, a menos que você veja que AutomaticServiceUpdateEnabled está definido como false quando você executa Get-IRMConfiguration.

Se nenhum dos cenários listados se aplicar a você, você deverá ativar manualmente o serviço de proteção.

Como ativar ou confirmar o estado do serviço de proteção

Importante

Não ative o serviço de proteção se tiver o Ative Directory Rights Management Services (AD RMS) implantado para sua organização. Mais informações

Para ativar o serviço de proteção, sua organização deve ter um plano de serviço que inclua o serviço Azure Rights Management da Proteção de Informações do Azure. Para obter mais informações, consulte Diretrizes de licenciamento do Microsoft 365 para segurança e conformidade.

Quando o serviço de proteção é ativado, todos os usuários em sua organização podem aplicar proteção de informações a seus documentos e e-mails, e todos os usuários podem abrir (consumir) documentos e e-mails que foram protegidos por esse serviço. No entanto, se preferir, você pode restringir quem pode aplicar a proteção de informações, usando controles de integração para uma implantação em fases. Para obter mais informações, consulte a seção Configurando controles de integração para uma implantação em fases neste artigo.

Ativar a proteção via PowerShell

Você deve usar o PowerShell para ativar o serviço de proteção Rights Management (Azure RMS). Você não pode mais ativar ou desativar esse serviço no portal do Azure.

  1. Instale o módulo AIPService para configurar e gerenciar o serviço de proteção. Para obter instruções, consulte Instalando o módulo AIPService PowerShell.

  2. Em uma sessão do PowerShell, execute Connect-AipService e, quando solicitado, forneça os detalhes da conta de Administrador Global para seu locatário da Proteção de Informações do Azure.

  3. Execute Get-AipService para confirmar se o serviço de proteção está ativado. Um status de Ativado confirma a ativação; Desativado indica que o serviço está desativado.

  4. Para ativar o serviço, execute Enable-AipService.

Configurando controles de integração para uma implantação em fases

Se você não quiser que todos os usuários possam proteger documentos e emails imediatamente usando a Proteção de Informações do Azure, poderá configurar os controles de integração de usuários usando o comando Set-AipServiceOnboardingControlPolicy PowerShell. Você pode executar esse comando antes ou depois de ativar o serviço Azure Rights Management.

Por exemplo, se você quiser inicialmente que apenas os administradores no grupo "Departamento de TI" (que tem uma ID de objeto fbb99ded-32a0-45f1-b038-38b519009503) possam proteger o conteúdo para fins de teste, use o seguinte comando:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Observe que, para essa opção de configuração, você deve especificar um grupo; Não é possível especificar usuários individuais. Para obter a ID do objeto para o grupo, você pode usar o Microsoft Graph PowerShell — por exemplo, para a versão 1.0 do módulo, use o comando Get-MgGroup . Ou, você pode copiar o valor de ID do objeto do grupo do portal do Azure.

Como alternativa, se você quiser garantir que apenas os usuários licenciados corretamente para usar a Proteção de Informações do Azure possam proteger o conteúdo:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Quando não precisar mais usar controles de integração, quer tenha usado a opção de grupo ou licenciamento, execute:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Para obter mais informações sobre esse cmdlet e exemplos adicionais, consulte a ajuda Set-AipServiceOnboardingControlPolicy .

Quando você usa esses controles de integração, todos os usuários na organização sempre podem consumir conteúdo protegido que foi protegido pelo seu subconjunto de usuários, mas eles não poderão aplicar a proteção de informações por conta própria de aplicativos cliente. Os aplicativos do lado do servidor, como o Exchange, podem implementar seus próprios controles por usuário para obter o mesmo resultado. Por exemplo, para impedir que os usuários protejam emails no Outlook na Web, use Set-OwaMailboxPolicy para definir o parâmetro IRMEnabled como $false.

Próximos passos

Agora que o serviço de proteção está ativado para a sua organização, as aplicações e os serviços podem aplicar encriptação para ajudar a proteger os seus dados. Uma das maneiras mais fáceis de aplicar criptografia é usando rótulos de sensibilidade do Microsoft Purview Information Protection.