Aktivera skyddstjänsten från Azure Information Protection

Den här artikeln beskriver hur administratörer kan aktivera Azure Rights Management-skyddstjänsten för Azure Information Protection (AIP). När skyddstjänsten aktiveras för din organisation kan administratörer och användare börja skydda viktiga data med hjälp av program och tjänster som stöder den här informationsskyddslösningen. Administratörer kan också hantera och övervaka skyddade dokument och e-postmeddelanden som din organisation äger.

Den här konfigurationsinformationen i den här artikeln gäller för administratörer som ansvarar för en tjänst som gäller för alla användare i en organisation. Om du letar efter användarhjälp och information för att använda Rights Management-funktionerna för ett visst program eller hur du öppnar en fil eller e-post som är rättighetsskyddad använder du hjälpen och vägledningen som medföljer ditt program.

Automatisk aktivering för Azure Rights Management

När du har en tjänstplan som innehåller Azure Rights Management behöver du kanske inte aktivera tjänsten:

  • Om din prenumeration som innehåller Azure Rights Management eller Azure Information Protection erhölls i slutet av februari 2018 eller senare: Tjänsten aktiveras automatiskt åt dig. Du behöver inte aktivera tjänsten om du eller en annan global administratör för din organisation inaktiverade Azure Rights Management.

  • Om din prenumeration som innehåller Azure Rights Management eller Azure Information Protection erhölls före eller under februari 2018: Microsoft aktiverar Azure Rights Management-tjänsten för dessa prenumerationer om din klientorganisation använder Exchange Online. För dessa prenumerationer aktiveras tjänsten åt dig om du inte ser att AutomaticServiceUpdateEnabled är inställt på false när du kör Get-IRMConfiguration.

Om inget av de angivna scenarierna gäller för dig måste du aktivera skyddstjänsten manuellt.

Så här aktiverar eller bekräftar du status för skyddstjänsten

Viktigt!

Aktivera inte skyddstjänsten om du har Active Directory Rights Management Services (AD RMS) distribuerat för din organisation. Mer information

För att aktivera skyddstjänsten måste din organisation ha en tjänstplan som innehåller Azure Rights Management-tjänsten från Azure Information Protection. Mer information finns i Microsoft 365-licensieringsvägledning för säkerhet och efterlevnad.

När skyddstjänsten aktiveras kan alla användare i din organisation tillämpa informationsskydd på sina dokument och e-postmeddelanden, och alla användare kan öppna (använda) dokument och e-postmeddelanden som har skyddats av den här tjänsten. Men om du vill kan du begränsa vem som kan tillämpa informationsskydd genom att använda registreringskontroller för en stegvis distribution. Mer information finns i avsnittet Konfigurera registreringskontroller för en stegvis distribution i den här artikeln.

Aktivera skydd via PowerShell

Du måste använda PowerShell för att aktivera Rights Management Protection-tjänsten (Azure RMS). Du kan inte längre aktivera eller inaktivera den här tjänsten från Azure-portalen.

  1. Installera AIPService-modulen för att konfigurera och hantera skyddstjänsten. Anvisningar finns i Installera AIPService PowerShell-modulen.

  2. Från en PowerShell-session kör du Anslut-AipService och när du uppmanas till det anger du kontoinformationen global administratör för din Azure Information Protection-klientorganisation.

  3. Kör Get-AipService för att bekräfta om skyddstjänsten är aktiverad. Statusen Aktiverad bekräftar aktiveringen. Inaktiverad anger att tjänsten är inaktiverad.

  4. Om du vill aktivera tjänsten kör du Enable-AipService.

Konfigurera onboarding-kontroller för en stegvis distribution

Om du inte vill att alla användare ska kunna skydda dokument och e-postmeddelanden omedelbart med hjälp av Azure Information Protection kan du konfigurera användarregistreringskontroller med hjälp av kommandot Set-AipServiceOnboardingControlPolicy PowerShell. Du kan köra det här kommandot innan eller efter att du har aktiverat Azure Rights Management-tjänsten.

Om du till exempel först bara vill att administratörer i gruppen "IT-avdelning" (som har ett objekt-ID för fbb99ded-32a0-45f1-b038-38b519009503) ska kunna skydda innehåll i testsyfte använder du följande kommando:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Observera att för det här konfigurationsalternativet måste du ange en grupp. du kan inte ange enskilda användare. Om du vill hämta objekt-ID:t för gruppen kan du använda Microsoft Graph PowerShell, till exempel för version 1.0 av modulen, med kommandot Get-MgGroup . Eller så kan du kopiera objekt-ID-värdet för gruppen från Azure-portalen.

Du kan också se till att endast användare som har rätt licens för att använda Azure Information Protection kan skydda innehåll:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

När du inte längre behöver använda onboarding-kontroller, oavsett om du använde alternativet grupp eller licensiering, kör du:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Mer information om den här cmdleten och ytterligare exempel finns i hjälpen Set-AipServiceOnboardingControlPolicy .

När du använder dessa registreringskontroller kan alla användare i organisationen alltid använda skyddat innehåll som har skyddats av din delmängd av användare, men de kommer inte att kunna tillämpa informationsskydd själva från klientprogram. Program på serversidan, till exempel Exchange, kan implementera egna kontroller per användare för att uppnå samma resultat. Om du till exempel vill förhindra att användare skyddar e-postmeddelanden i Outlook på webben använder du Set-OwaMailboxPolicy för att ange parametern IRMEnabled till $false.

Nästa steg

Nu när skyddstjänsten har aktiverats för din organisation kan appar och tjänster använda kryptering för att skydda dina data. Ett av de enklaste sätten att tillämpa kryptering är att använda känslighetsetiketter från Microsoft Purview Information Protection.