Активация службы защиты из Azure Information Protection

В этой статье описывается, как администраторы могут активировать службу защиты Azure Rights Management для Azure Information Protection (AIP). Когда служба защиты активируется для вашей организации, администраторы и пользователи могут начать защищать важные данные с помощью приложений и служб, поддерживающих это решение для защиты информации. Администраторы могут также отслеживать защищенные файлы и электронные сообщения, которыми владеет организация, и управлять ими.

Эти сведения о конфигурации в этой статье предназначены для администраторов, ответственных за службу, которая применяется ко всем пользователям в организации. Если вам нужна информация для пользователей о применении возможностей службы Rights Management для определенного приложения или о том, как открыть файл или сообщение электронной почты, защищенные правами, используйте справку и документацию по приложению.

Сведения о вариантах технической поддержки и ответы на другие вопросы о службе см. в разделе Варианты поддержки и ресурсы сообщества.

Автоматическая активация azure Rights Management

Если у вас есть план обслуживания, включающий Службу Azure Rights Management, возможно, вам не придется активировать службу:

  • Если ваша подписка с azure Rights Management или Azure Information Protection была получена к концу февраля 2018 г. или более поздней версии: служба автоматически активируется. Вам не нужно активировать службу, если вы или другой глобальный администратор организации не отключали службу Azure Rights Management.

  • Если ваша подписка с azure Rights Management или Azure Information Protection была получена до или в феврале 2018 г.: корпорация Майкрософт активирует службу Azure Rights Management для этих подписок, если ваш клиент использует Exchange Online. Для этих подписок служба будет активирована, если при запуске Get-IRMConfiguration не будет установлено значение False, если параметр AutomaticServiceUpdateEnabled имеет значение false.

Если ни к вам ни в коем случае не применяются перечисленные сценарии, необходимо вручную активировать службу защиты.

Активация или подтверждение состояния службы защиты

Важно!

Не активируйте службу защиты, если у вас развернуты службы Active Directory Rights Management (AD RMS) для вашей организации. Дополнительные сведения

Чтобы активировать службу защиты, ваша организация должна иметь план обслуживания, который включает службу Azure Rights Management из Azure Information Protection. Дополнительные сведения см. в руководстве по лицензированию Microsoft 365 для обеспечения соответствия требованиям безопасности&.

После активации службы защиты все пользователи в вашей организации могут применять защиту информации к своим документам и электронным письмам, а все пользователи могут открывать (использовать) документы и сообщения электронной почты, защищенные этой службой. При желании можно ограничить список пользователей, которые могут применять защиту информации, с помощью элементов управления переносом для проведения поэтапного развертывания. Дополнительные сведения см. в разделе: Настройка элементов управления переносом для поэтапного развертывания в этой статье.

Активация защиты с помощью PowerShell

Для активации службы защиты Rights Management (Azure RMS) необходимо использовать PowerShell. Вы больше не можете активировать или отключить эту службу из портал Azure.

  1. Установите модуль AIPService, чтобы настроить службу защиты и управлять ею. Инструкции см. в разделе "Установка модуля PowerShell AIPService".

  2. В сеансе PowerShell запустите Connect-AipService и при появлении запроса укажите сведения об учетной записи глобального администратора для клиента Azure Information Protection.

  3. Запустите Get-AipService , чтобы убедиться, что служба защиты активирована. Состояние Включена подтверждает включение; Отключена означает, что служба отключена.

  4. Чтобы активировать службу, запустите Enable-AipService.

Настройка элементов управления переносом для поэтапного развертывания

Если вы не хотите, чтобы все пользователи могли защищать документы и сообщения электронной почты немедленно с помощью Azure Information Protection, вы можете настроить элементы управления подключением пользователей с помощью команды Set-AipServiceOnboardingControlPolicy PowerShell. Вы можете выполнить эту команду до или после активации службы Azure Rights Management.

Например, если изначально требуется, чтобы только администраторы в группе "ИТ-отдел" (с идентификатором объекта fbb99ded-32a0-45f1-b038-38b519009503) смогли защищать содержимое для тестирования, используйте следующую команду:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Обратите внимание, что для этого варианта настройки необходимо указать группу; вы не можете указать отдельных пользователей. Чтобы получить идентификатор объекта для группы, можно использовать модуль PowerShell Azure AD, например для версии модуля 1.0 используйте команду Get-MsolGroup. Также можно скопировать идентификатор объекта группы с портала Azure.

Если же необходимо гарантировать, что только пользователи, которые имеют соответствующие лицензии для использования Azure Information Protection, смогут защищать содержимое.

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Если вам больше не нужно использовать элементы управления для перехода (как в группе, так и при лицензировании), выполните такую команду.

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Дополнительные сведения об этом командлете и дополнительных примерах см. в справке Set-AipServiceOnboardingControlPolicy .

При использовании этого варианта все пользователи в организации всегда смогут использовать защищенный контент, который был защищен неким подмножеством пользователей, но при этом не смогут самостоятельно применять механизмы защиты информации из клиентских приложений. Серверные приложения, такие как Exchange, могут реализовывать собственные элементы управления для каждого пользователя для достижения того же результата. Например, чтобы запретить пользователям защищать сообщения электронной почты в Outlook в Интернете, используйте OwaMailboxPolicy, чтоб присвоить параметру IRMEnabled значение $false.

Дальнейшие действия

Теперь, когда служба защиты активируется для вашей организации, приложения и службы могут применять шифрование для защиты данных. Одним из самых простых способов применения шифрования является использование меток конфиденциальности из Защита информации Microsoft Purview.