从 Azure 信息保护激活保护服务

本文介绍管理员如何为 Azure 信息保护 (AIP) 激活 Azure Rights Management 保护服务。 为组织激活保护服务时,管理员和用户可以使用支持此信息保护解决方案的应用程序和服务来开始保护重要数据。 管理员还可以管理和监视你的组织拥有的受保护文档和电子邮件。

本文中的这些配置信息是为负责一个适用于组织中所有用户的服务的管理员提供的。 如果你要寻找针对特定应用程序使用 Rights Management 功能,或者如何打开受权限保护的文件或电子邮件的用户帮助和信息,请使用你的应用程序附带的帮助和指南。

自动激活 Azure Rights Management

如果你有包含 Azure Rights Management 的服务计划,则可能不需要激活此服务:

  • 如果获得包含 Azure Rights Management 或 Azure 信息保护的订阅的时间是在 2018 年 2 月底或之后,我们将自动为你激活此服务。 除非你或你组织的其他全局管理员停用了 Azure Rights Management,否则你无需激活此服务。

  • 如果获得包含 Azure Rights Management 或 Azure 信息保护的订阅的时间是在 2018 年 2 月之前或期间:若租户使用的是 Exchange Online,Microsoft 将为这些订阅激活 Azure Rights Management 服务。 对于这些订阅,除非运行 Get-IRMConfiguration 时看到 AutomaticServiceUpdateEnabled 设置为 false,否则将为你激活该服务 。

如果列出的两种场景都不适用,则必须手动激活保护服务。

如何激活或确认保护服务的状态

重要

如果已为组织部署 Active Directory Rights Management Services (AD RMS),请不要激活保护服务。 详细信息

若要激活保护服务,你的组织必须有一个包含 Azure 信息保护中的 Azure Rights Management 服务的服务计划。 有关详细信息,请参阅 Microsoft 365 安全性与合规性许可指南

激活保护服务后,组织中的所有用户都可以对文档和电子邮件应用信息保护,并且所有用户都能打开(使用)受该服务保护的文档和电子邮件。 但是,如果你愿意,可以通过对分阶段部署使用加入控制来限制哪些人员可以应用信息保护。 有关详细信息,请参阅本文中的 为分阶段部署配置加入控制 部分。

通过 PowerShell 激活保护

必须使用 PowerShell 激活 Rights Management 保护服务 (Azure RMS)。 不能再从 Azure 门户激活或停用此服务。

  1. 安装 AIPService 模块,配置和管理保护服务。 有关说明,请参阅安装 AIPService PowerShell 模块

  2. 在 PowerShell 会话中,运行 Connect-AipService,并在出现提示时提供 Azure 信息保护租户的全局管理员帐户详细信息。

  3. 运行 Get-AipService,确认是否已激活保护服务。 状态为“Enabled”则确认已激活;状态为“Disabled”则指示此服务已停用

  4. 若要激活此服务,请运行 Enable-AipService

为分阶段部署配置加入控制

如果不希望所有用户都能立即使用 Azure 信息保护来保护文档和电子邮件,可使用 Set-AipServiceOnboardingControlPolicy PowerShell 命令来配置用户加入控件。 在激活 Azure Rights Management 服务之前或之后,你可以运行此命令。

例如,如果出于测试目的,你最初只想让“IT 部门”组(具有对象 ID fbb99ded-32a0-45f1-b038-38b519009503)中的管理员能够保护内容,请使用以下命令:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

请注意:对于此配置选项,必须指定组,不能指定单个用户。 要获取组的对象 ID,可使用 Microsoft Graph PowerShell,例如,对于 1.0 版的模块,使用 Get-MgGroup 命令。 或者,可以从 Azure 门户复制组的对象 ID 值。

或者,如果要确保只有正确获得使用 Azure 信息保护的许可的用户可以保护内容,请使用以下命令:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

不需要再使用载入控件时,无论使用了组还是授权选项,都运行:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

有关此 cmdlet 的详细信息和其他示例,请参阅 Set-AipServiceOnboardingControlPolicy 帮助。

使用这些加入控制时,组织中的所有用户始终可以使用由用户的子集保护的受保护内容,但他们自身将不能从客户端应用程序应用信息保护。 服务器端应用程序(例如 Exchange)可以实现自己的每用户控件,以获得相同的结果。 例如,若要阻止用户保护网页版 Outlook 中的电子邮件,请使用 Set-OwaMailboxPolicy,以将 IRMEnabled 参数设置为 $false

后续步骤

为组织激活保护服务后,应用和服务可以应用加密来帮助保护数据。 应用加密的最简单方法之一是使用 Microsoft Purview 信息保护中的敏感度标签