Активация службы защиты из Azure Information Protection

  • Статья

В этой статье описывается, как администраторы могут активировать службу защиты Azure Rights Management для Azure Information Protection (AIP). Когда служба защиты активирована для вашей организации, администраторы и пользователи могут начать защищать важные данные с помощью приложений и служб, поддерживающих это решение для защиты информации. Администраторы могут также отслеживать защищенные файлы и электронные сообщения, которыми владеет организация, и управлять ими.

Эти сведения о конфигурации в этой статье предназначены для администраторов, которые отвечают за службу, которая применяется ко всем пользователям в организации. Если вам нужна информация для пользователей о применении возможностей службы Rights Management для определенного приложения или о том, как открыть файл или сообщение электронной почты, защищенные правами, используйте справку и документацию по приложению.

Сведения о вариантах технической поддержки и ответы на другие вопросы о службе см. в разделе Варианты поддержки и ресурсы сообщества.

Автоматическая активация azure Rights Management

Если у вас есть план обслуживания, включающий Azure Rights Management, вам может не потребоваться активировать службу:

  • Если ваша подписка, включающая Azure Rights Management или Azure Information Protection, была получена в конце февраля 2018 г. или позже: служба автоматически активируется. Вам не нужно активировать службу, если вы или другой глобальный администратор организации не отключали службу Azure Rights Management.

  • Если ваша подписка, включающая Azure Rights Management или Azure Information Protection, была получена до или в течение февраля 2018 г., корпорация Майкрософт активирует службу Azure Rights Management для этих подписок, если ваш клиент использует Exchange Online. Для этих подписок служба будет активирована, если вы не увидите, что параметр AutomaticServiceUpdateEnabled имеет значение false при запуске Get-IRMConfiguration.

Если ни тот из перечисленных сценариев не относится к вам, необходимо вручную активировать службу защиты.

Активация или подтверждение состояния службы защиты

Важно!

Не активируйте службу защиты, если для вашей организации развернуты службы Active Directory Rights Management (AD RMS). Дополнительные сведения

Чтобы активировать службу защиты, у вашей организации должен быть план обслуживания, включающий службу Azure Rights Management из Azure Information Protection. Дополнительные сведения см. в статье Руководство по лицензированию Microsoft 365 по соответствию требованиям к безопасности&.

После активации службы защиты все пользователи в вашей организации могут применять защиту информации к своим документам и сообщениям электронной почты, а все пользователи могут открывать (использовать) документы и сообщения электронной почты, защищенные этой службой. При желании можно ограничить список пользователей, которые могут применять защиту информации, с помощью элементов управления переносом для проведения поэтапного развертывания. Дополнительные сведения см. в разделе: Настройка элементов управления переносом для поэтапного развертывания в этой статье.

Активация защиты с помощью PowerShell

Для активации службы защиты Rights Management (Azure RMS) необходимо использовать PowerShell. Вы больше не можете активировать или деактивировать эту службу из портал Azure.

  1. Установите модуль AIPService, чтобы настроить службу защиты и управлять ею. Инструкции см. в статье Установка модуля AIPService PowerShell.

  2. В сеансе PowerShell запустите Connect-AipService и при появлении запроса укажите сведения об учетной записи глобального администратора для клиента azure Information Protection.

  3. Выполните командлет Get-AipService , чтобы проверить, активирована ли служба защиты. Состояние Включена подтверждает включение; Отключена означает, что служба отключена.

  4. Чтобы активировать службу, выполните команду Enable-AipService.

Настройка элементов управления переносом для поэтапного развертывания

Если вы не хотите, чтобы все пользователи могли немедленно защищать документы и сообщения электронной почты с помощью Azure Information Protection, вы можете настроить элементы управления подключением пользователей с помощью команды PowerShell Set-AipServiceOnboardingControlPolicy. Вы можете выполнить эту команду до или после активации службы Azure Rights Management.

Например, если изначально требуется, чтобы только администраторы в группе "ИТ-отдел" (с идентификатором объекта fbb99ded-32a0-45f1-b038-38b519009503) смогли защищать содержимое для тестирования, используйте следующую команду:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Обратите внимание, что для этого варианта настройки необходимо указать группу; вы не можете указать отдельных пользователей. Чтобы получить идентификатор объекта для группы, можно использовать модуль PowerShell Azure AD, например для версии модуля 1.0 используйте команду Get-MsolGroup. Также можно скопировать идентификатор объекта группы с портала Azure.

Если же необходимо гарантировать, что только пользователи, которые имеют соответствующие лицензии для использования Azure Information Protection, смогут защищать содержимое.

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Если вам больше не нужно использовать элементы управления для перехода (как в группе, так и при лицензировании), выполните такую команду.

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Дополнительные сведения об этом командлете и дополнительные примеры см. в справке Set-AipServiceOnboardingControlPolicy .

При использовании этого варианта все пользователи в организации всегда смогут использовать защищенный контент, который был защищен неким подмножеством пользователей, но при этом не смогут самостоятельно применять механизмы защиты информации из клиентских приложений. Серверные приложения, такие как Exchange, могут реализовывать собственные элементы управления для каждого пользователя для достижения того же результата. Например, чтобы запретить пользователям защищать сообщения электронной почты в Outlook в Интернете, используйте OwaMailboxPolicy, чтоб присвоить параметру IRMEnabled значение $false.

Дальнейшие действия

Теперь, когда служба защиты активирована для вашей организации, приложения и службы могут применять шифрование для защиты данных. Одним из самых простых способов применения шифрования является использование меток конфиденциальности из Защита информации Microsoft Purview.