從 Azure 資訊保護啟用保護服務

本文說明系統管理員如何為 Azure 資訊保護 (AIP) 啟用 Azure Rights Management 保護服務。 當您的組織啟用保護服務時,系統管理員和使用者可以使用支援這項資訊保護解決方案的應用程式和服務,開始保護重要資料。 系統管理員也可以管理與監控您的組織所擁有的受保護文件及電子郵件。

本文中的此組態資訊適用于負責套用至組織中所有使用者之服務的系統管理員。 如果您要尋找對特定的應用程式使用 Rights Management 功能,或如何開啟權限受保護之檔案或電子郵件的使用者說明及資訊,請使用應用程式隨附的說明及指引。

如需技術支援及其他服務相關問題,請參閱支援選項和社群資源資訊。

Azure Rights Management 的自動啟用

當您有包含 Azure Rights Management 的服務方案時,您可能不需要啟用服務:

  • 如果您的訂用帳戶包含 Azure Rights Management 或 Azure 資訊保護是在 2018 年 2 月或更新版本結束時取得:服務會自動為您啟用。 除非組織的另一位全域管理員停用了 Azure Rights Management,否則您不必啟用服務。

  • 如果您的訂用帳戶包含 Azure Rights Management 或 Azure 資訊保護是在 2018 年 2 月之前或期間取得:如果您的租使用者使用 Exchange Online,Microsoft 會啟用這些訂用帳戶的 Azure Rights Management 服務。 針對這些訂用帳戶,除非您在執行Get-IRMConfiguration時看到AutomaticServiceUpdateEnabled設為false,否則將會為您啟用服務。

如果列出的案例都不適用於您,您必須手動啟用保護服務。

如何啟用或確認保護服務的狀態

重要

如果您已為組織部署 Active Directory Rights Management Services (AD RMS) ,請勿啟用保護服務。 詳細資訊

若要啟用保護服務,您的組織必須有服務方案,其中包含來自 Azure 資訊保護的 Azure Rights Management 服務。 如需詳細資訊,請參閱 Microsoft 365 授權指引,以瞭解安全性 & 合規性

啟用保護服務時,貴組織中的所有使用者都可以將資訊保護套用至其檔和電子郵件,而且所有使用者都可以開啟 (取) 此服務所保護的檔和電子郵件。 不過,如果您要的話,您可以限制誰可以套用資訊保護,方法是在分階段部署中使用登入控制項。 如需詳細資訊,請參閱本文中的設定分階段部署的登入控制項一節。

透過 PowerShell 啟用保護

您必須使用 PowerShell 啟用 Rights Management 保護服務, (Azure RMS) 。 您無法再從Azure 入口網站啟用或停用此服務。

  1. 安裝 AIPService 模組,以設定和管理保護服務。 如需指示,請參閱 安裝 AIPService PowerShell 模組

  2. 從 PowerShell 會話執行Connect-AipService,並在出現提示時,提供 Azure 資訊保護租使用者的全域管理員帳戶詳細資料。

  3. 執行 Get-AipService 以確認是否已啟用保護服務。 狀態若為 [已啟用] 即確認啟用,[已停用] 則表示服務已停用。

  4. 若要啟用服務,請執行 Enable-AipService

設定分階段部署的登入控制項

如果您不想讓所有使用者都能使用 Azure 資訊保護立即保護檔和電子郵件,您可以使用Set-AipServiceOnboardingControlPolicy PowerShell 命令來設定使用者上線控制項。 您可以在啟用 Azure Rights Management 服務前後執行此命令。

例如,如果基於測試目的,您一開始只希望 “IT department” 群組中的管理員 (包含 fbb99ded-32a0-45f1-b038-38b519009503 物件識別碼) 能夠保護內容,請使用下列命令:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

請注意,您必須針對此組態選項指定一個群組;您無法指定個人使用者。 若要取得群組的物件識別碼,您可以使用 Azure AD PowerShell,例如對 1.0 版的模組使用 Get-MsolGroup 命令。 您也可以從 Azure 入口網站複製群組的物件識別碼值。

或者,如果您要確保只有已正確授權使用 Azure 資訊保護的使用者才能保護內容:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

當您不再需要使用登入控制項時,無論您使用的是群組或授權選項,都請執行:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

如需此 Cmdlet 和其他範例的詳細資訊,請參閱 Set-AipServiceOnboardingControlPolicy 說明。

當您使用這些登入控制項時,組織中的所有使用者一律可以使用受部分使用者保護的受保護內容,但他們無法從用戶端應用程式中自行套用資訊保護。 Exchange 等伺服器端應用程式可以實作自己的個別使用者控制項,以達到相同的結果。 例如,若要防止使用者保護網頁版 Outlook 中的電子郵件,請使用 Set-OwaMailboxPolicyIRMEnabled 參數設定為 $false

下一步

現在已為您的組織啟用保護服務,應用程式和服務可以套用加密來協助保護您的資料。 套用加密的最簡單方式之一,是從Microsoft Purview 資訊保護使用敏感度標籤