Активация службы защиты из Azure Information Protection

В этой статье описывается, как администраторы могут активировать службу защиты Azure Rights Management для Azure Information Protection (AIP). Когда служба защиты активируется для вашей организации, администраторы и пользователи могут начать защищать важные данные с помощью приложений и служб, поддерживающих это решение для защиты информации. Администратор istrator также может управлять защищенными документами и электронными письмами, принадлежащими вашей организации.

Эти сведения о конфигурации в этой статье предназначены для администраторов, которые отвечают за службу, которая применяется ко всем пользователям в организации. Если вы ищете справку пользователя и информацию, чтобы использовать функцию Rights Management для конкретного приложения или как открыть файл или электронную почту, защищенные правами, используйте справку и рекомендации, сопровождающие приложение.

Сведения о технической поддержке и других проблемах о службе см. в разделе "Параметры поддержки" и сведения о ресурсах сообщества.

Автоматическая активация для Azure Rights Management

Если у вас есть план обслуживания, включающий Azure Rights Management, возможно, вам не придется активировать службу:

  • Если ваша подписка, которая включает Azure Rights Management или Azure Information Protection, была получена в конце февраля 2018 г. или более поздней версии: служба автоматически активируется для вас. Вам не нужно активировать службу, если вы или другой глобальный администратор вашей организации не деактивировали Azure Rights Management.

  • Если ваша подписка, которая включает Azure Rights Management или Azure Information Protection, была получена до или в течение февраля 2018 г. Корпорация Майкрософт активирует службу Azure Rights Management для этих подписок, если клиент использует Exchange Online. Для этих подписок служба будет активирована, если вы не видите, что AutomaticServiceUpdateEnableddимеет значение false при запуске Get-IRMConfiguration.

Если к вам не применяются ни несколько перечисленных сценариев, необходимо вручную активировать службу защиты.

Активация или подтверждение состояния службы защиты

Важно!

Не активируйте службу защиты, если для организации развернуты службы Active Directory Rights Management (AD RMS). Дополнительные сведения

Чтобы активировать службу защиты, у вашей организации должен быть план обслуживания, включающий службу Azure Rights Management из Azure Information Protection. Дополнительные сведения см . в руководстве по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

При активации службы защиты все пользователи в организации могут применять защиту информации к своим документам и электронной почте, а все пользователи могут открывать (использовать) документы и сообщения электронной почты, защищенные этой службой. Однако, если вы предпочитаете, можно ограничить, кто может применить защиту информации, используя элементы управления подключением для поэтапного развертывания. Дополнительные сведения см . в разделе "Настройка элементов управления подключением" для поэтапного развертывания в этой статье.

Активация защиты с помощью PowerShell

Для активации службы защиты Rights Management (Azure RMS) необходимо использовать PowerShell. Вы больше не можете активировать или отключить эту службу из портал Azure.

  1. Установите модуль AIPService, чтобы настроить службу защиты и управлять ею. Инструкции см. в разделе "Установка модуля AIPService PowerShell".

  2. В сеансе PowerShell запустите Подключение-AipService и при появлении запроса укажите сведения о учетной записи глобального Администратор istrator для клиента Azure Information Protection.

  3. Запустите Get-AipService , чтобы убедиться, активирована ли служба защиты. Состояние включено подтверждает активацию; Отключено указывает, что служба деактивирована.

  4. Чтобы активировать службу, запустите Enable-AipService.

Настройка элементов управления подключением для поэтапного развертывания

Если вы не хотите, чтобы все пользователи могли защищать документы и сообщения электронной почты немедленно с помощью Azure Information Protection, можно настроить элементы управления подключением пользователей с помощью команды Set-AipServiceOnboardingControlPolicy PowerShell. Эту команду можно выполнить до или после активации службы Azure Rights Management.

Например, если изначально требуется только администраторы в группе "ИТ-отдел" (с идентификатором объекта fbb99ded-32a0-45f1-b038-38b519009503), чтобы защитить содержимое для тестирования, используйте следующую команду:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Обратите внимание, что для этого параметра конфигурации необходимо указать группу; нельзя указать отдельных пользователей. Чтобы получить идентификатор объекта для группы, можно использовать Microsoft Graph PowerShell, например для версии 1.0 модуля, используйте команду Get-MgGroup . Кроме того, можно скопировать значение идентификатора объекта группы из портал Azure.

Кроме того, если вы хотите убедиться, что только пользователи, которые правильно лицензированы для использования Azure Information Protection, могут защитить содержимое:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Если вам больше не нужно использовать элементы управления подключением, независимо от того, использовал ли вы параметр группы или лицензирования, выполните следующую команду:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Дополнительные сведения об этом командлете и дополнительных примерах см. в справке Set-AipServiceOnboardingControlPolicy .

При использовании этих элементов управления подключением все пользователи в организации всегда могут использовать защищенное содержимое, защищенное подмножеством пользователей, но они не смогут применять защиту информации от клиентских приложений. Серверные приложения, такие как Exchange, могут реализовать собственные элементы управления на пользователя для достижения того же результата. Например, чтобы запретить пользователям защищать сообщения электронной почты в Outlook в Интернете, используйте Set-OwaMailboxPolicy, чтобы задать для параметра IRMEnabled значение $false.

Следующие шаги

Теперь, когда служба защиты активируется для вашей организации, приложения и службы могут применять шифрование для защиты данных. Одним из самых простых способов применения шифрования является использование меток конфиденциальности из Защита информации Microsoft Purview.