Aktivace služby ochrany ze služby Azure Information Protection

Tento článek popisuje, jak můžou správci aktivovat službu ochrany Azure Rights Management pro Azure Information Protection (AIP). Po aktivaci služby ochrany pro vaši organizaci můžou správci a uživatelé začít chránit důležitá data pomocí aplikací a služeb, které podporují toto řešení ochrany informací. Správa istrátory můžou také spravovat a monitorovat chráněné dokumenty a e-maily, které vaše organizace vlastní.

Tyto informace o konfiguraci v tomto článku jsou určené správcům, kteří zodpovídají za službu, která se vztahuje na všechny uživatele v organizaci. Pokud hledáte uživatelskou nápovědu a informace k používání funkcí Rights Management pro konkrétní aplikaci nebo jak otevřít soubor nebo e-mail chráněný právy, použijte nápovědu a doprovodné materiály k aplikaci.

Pokud potřebujete technickou podporu a další dotazy týkající se služby, přečtěte si informace o možnostech podpory a komunitních zdrojích informací.

Automatická aktivace pro Azure Rights Management

Pokud máte plán služby, který zahrnuje Azure Rights Management, možná nebudete muset službu aktivovat:

  • Pokud se vaše předplatné, které zahrnuje Azure Rights Management nebo Azure Information Protection, získalo ke konci února 2018 nebo novějšího: Služba se automaticky aktivuje za vás. Službu nemusíte aktivovat, pokud jste vy nebo jiný globální správce vaší organizace neaktivovali Službu Azure Rights Management.

  • Pokud vaše předplatné, které zahrnuje Azure Rights Management nebo Azure Information Protection, bylo získáno před nebo během února 2018: Microsoft aktivuje službu Azure Rights Management pro tato předplatná, pokud váš tenant používá Exchange Online. Pro tato předplatná se služba aktivuje za vás, pokud nevidíte, že funkce AutomaticServiceUpdateEnabled je při spuštění get-IRMConfiguration nastavená na hodnotu false.

Pokud se na vás žádný z uvedených scénářů nevztahuje, musíte službu ochrany aktivovat ručně.

Postup aktivace nebo potvrzení stavu služby ochrany

Důležité

Službu ochrany neaktivujte, pokud máte pro vaši organizaci nasazené služba AD RMS (Active Directory Rights Management Services) (AD RMS). Další informace

Pokud chcete aktivovat službu ochrany, musí mít vaše organizace plán služby, který zahrnuje službu Azure Rights Management ze služby Azure Information Protection. Další informace najdete v pokynech k licencování Microsoftu 365 pro zabezpečení a dodržování předpisů.

Když je služba ochrany aktivovaná, můžou všichni uživatelé ve vaší organizaci používat ochranu informací u svých dokumentů a e-mailů a všichni uživatelé můžou otevírat (využívat) dokumenty a e-maily chráněné touto službou. Pokud ale chcete, můžete omezit, kdo může použít ochranu informací, pomocí ovládacích prvků onboardingu pro postupné nasazení. Další informace najdete v části Konfigurace ovládacích prvků onboardingu pro fázované nasazení v tomto článku.

Aktivace ochrany pomocí PowerShellu

K aktivaci služby Ochrany Rights Management (Azure RMS) musíte použít PowerShell. Tuto službu už nemůžete aktivovat ani deaktivovat z webu Azure Portal.

  1. Nainstalujte modul AIPService a nakonfigurujte a spravujte službu ochrany. Pokyny najdete v tématu Instalace modulu AIPService PowerShell.

  2. V relaci PowerShellu spusťte Připojení-AipService a po zobrazení výzvy zadejte podrobnosti globálního účtu Správa istrator pro vašeho tenanta Azure Information Protection.

  3. Spuštěním příkazu Get-AipService ověřte, jestli je služba ochrany aktivovaná. Stav Povoleno potvrzuje aktivaci; Zakázaná indikuje, že je služba deaktivovaná.

  4. Pokud chcete službu aktivovat, spusťte Enable-AipService.

Konfigurace ovládacích prvků onboardingu pro postupné nasazení

Pokud nechcete, aby všichni uživatelé mohli okamžitě chránit dokumenty a e-maily pomocí služby Azure Information Protection, můžete nakonfigurovat ovládací prvky onboardingu uživatelů pomocí příkazu Set-AipServiceOnboardingControlPolicy PowerShellu. Tento příkaz můžete spustit před aktivací služby Azure Rights Management nebo po jeho aktivaci.

Pokud například chcete, aby mohli chránit obsah pro účely testování pouze správci ve skupině "ODDĚLENÍ IT" (který má ID objektu fbb99ded-32a0-45f1-b038-38b519009503), použijte následující příkaz:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Všimněte si, že pro tuto možnost konfigurace je nutné zadat skupinu; nemůžete určit jednotlivé uživatele. K získání ID objektu pro skupinu můžete použít Microsoft Graph PowerShell , například pro verzi 1.0 modulu, použijte příkaz Get-MgGroup . Nebo můžete z webu Azure Portal zkopírovat hodnotu ID objektu skupiny.

Případně pokud chcete zajistit, aby obsah chránili jenom uživatelé, kteří mají správnou licenci k používání služby Azure Information Protection:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Pokud už nepotřebujete používat ovládací prvky onboardingu, ať už jste použili možnost skupiny nebo licencování, spusťte:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Další informace o této rutině a dalších příkladech najdete v nápovědě Set-AipServiceOnboardingControlPolicy .

Když tyto ovládací prvky onboardingu použijete, můžou všichni uživatelé v organizaci vždy využívat chráněný obsah, který je chráněný vaší podmnožinou uživatelů, ale nebudou moct používat ochranu informací před klientskými aplikacemi. Serverové aplikace, například Exchange, můžou implementovat vlastní ovládací prvky pro jednotlivé uživatele, aby dosáhly stejného výsledku. Pokud chcete například uživatelům zabránit v ochraně e-mailů v Outlook na webu, použijte Set-OwaMailboxPolicy k nastavení parametru IRMEnabled na $false.

Další kroky

Teď, když je služba ochrany aktivovaná pro vaši organizaci, můžou aplikace a služby používat šifrování, které pomáhá chránit vaše data. Jedním z nejjednodušších způsobů použití šifrování je použití popisků citlivosti z Microsoft Purview Information Protection.