本文說明管理員如何啟用 Microsoft Purview 資訊保護的 Azure 權利管理加密服務。 當您的組織啟用此加密服務後,管理員和使用者即可開始使用支援此加密解決方案的應用程式與服務來保護重要資料。 管理員也能管理並監控您組織擁有的加密項目。
本文中的設定資訊是給負責服務的管理員,該服務適用於組織中所有使用者。 如果您正在尋找使用者協助及資訊,了解如何使用特定應用程式的權利管理功能,或如何開啟受權利保護的檔案或電子郵件,請參考隨附的說明與指引。
Azure Rights Management service 的自動啟用
如果你的服務方案包含 Azure 權利管理服務,你可能不需要啟用該服務:
如果您的訂閱包含Azure權利管理服務、Azure 資訊保護 (舊名) 或Microsoft Purview 資訊保護是在2018年2月底或之後取得:該服務將自動為您啟用。 除非你或組織的其他管理員停用了 Azure 權利管理服務,否則你不必啟用該服務。
如果您的訂閱包含Azure權利管理服務、Azure 資訊保護 (舊名稱) 或Microsoft Purview 資訊保護是在2018年2月之前或期間取得的:Microsoft會為您的租戶啟用這些訂閱的Azure權利管理服務,且您的租戶是使用 Exchange Online。 針對這些訂閱,除非你在執行 Get-IRMConfiguration 時發現 AutomaticServiceUpdateEnabled 設為 false,否則該服務會自動啟用。
如果上述兩種情況都不適用於你,你必須手動啟用 Azure 權利管理服務。
如何啟用或確認加密服務的狀態
重要事項
如果您已部署 Active Directory 權利管理服務 (AD RMS) ,請勿啟用 Azure 權利管理服務。 詳細資訊
要啟用 Azure 權利管理服務,您的組織必須擁有包含 Microsoft Purview 資訊保護 Azure 權利管理服務的服務方案。 欲了解更多資訊,請參閱 Microsoft 365 授權指引,以保障安全 & 合規性。
當啟用Azure權限管理服務時,組織中的所有使用者都可以對文件和電子郵件等項目進行加密,且所有使用者都能開啟 (使用) 已加密的項目。 不過,如果你願意,也可以透過分階段部署的啟動控制來限制誰能套用這種加密。 欲了解更多資訊,請參閱本文中分 階段部署的導入控制 配置章節。
透過PowerShell啟用Azure Rights Management服務
您必須使用 PowerShell 來啟用 Azure 權利管理服務。 您已無法再從管理員入口網站啟用或停用此服務。
安裝 AIPService 模組以配置和管理 Azure 權利管理服務。 相關說明請參見 Install the AIPService PowerShell module for the Azure Right Management 服務。
從 PowerShell 工作階段執行 Connect-AipService,並以一個有權限啟用 Azure Rights Management 服務的角色登入。 例如,合規管理員角色或合規資料管理員角色。
執行 Get-AipService 以確認 Azure 權利管理服務是否已啟用。 啟用狀態確認啟用;「停用」表示該服務已被停用。
要啟用服務,請執行 Enable-AipService。
分階段部署的入職控制配置
如果你不希望所有使用者都能透過 Azure 權利管理服務立即加密文件和電子郵件,你可以使用 Set-AipServiceOnboardingControlPolicy PowerShell 指令來設定使用者入職控制。 你可以在啟用 Azure 權利管理服務之前或之後執行這個指令。
例如,如果你一開始只想讓「IT 部門」群組的管理員,且物件 ID 為 aaaaa-0000-1111-2222-bbbbbbbbbbbb () 來保護內容以進行測試,請使用以下指令:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
此配置選項必須指定群組;你無法指定個別使用者。 要取得群組的物件 ID,您可以使用 Microsoft Graph PowerShell——例如,對於模組的 1.0 版本,可以使用 Get-MgGroup 指令。 或者,你也可以從 Azure 入口網站複製該群組的物件 ID 值。
或者,如果你想確保只有正確授權使用 Azure 權利管理服務的使用者才能保護內容:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True
當你不再需要使用入職控制時,不論你使用了群組或授權選項,請執行:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
欲了解更多關於此 cmdlet 及其他範例,請參閱 Set-AipServiceOnboardingControlPolicy 說明。
當你使用這些入職控制時,組織中的所有使用者都可以隨時使用由你那部分使用者保護的加密內容,但他們無法從用戶端應用程式自行套用加密。 伺服器端應用程式,如 Exchange,可以實作自己的每位使用者控制以達成相同效果。 例如,為了防止使用者保護Outlook 網頁版中的電子郵件,可以使用 Set-OwaMailboxPolicy 將 IRMEnabled 參數設為 $false。
後續步驟
現在 Azure 權利管理服務已為你的組織啟用,應用程式和服務可以套用加密來幫助保護你的資料。 最簡單且推薦的加密應用方式,是使用 Microsoft Purview 資訊保護的敏感標籤。 如果你準備好了,請參考「 開始使用敏感度標籤」。
Azure 權利管理服務的一個簡單的驗證測試是,使用一個使用者帳號來加密文件或電子郵件的敏感性標籤。 接著嘗試在另一台電腦上開啟並使用其他使用者帳號的加密內容。