Активация службы защиты из Azure Information Protection

Область применения: Azure Information Protection, Office 365

К чему относится: клиент унифицированных меток и классический клиент AIP

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

В этой статье описывается, как администраторы могут активировать службу Azure Rights Management Protection для Azure Information Protection (точка административной установки). Когда служба защиты активирована для вашей организации, администраторы и пользователи могут начать защищать важные данные с помощью приложений и служб, поддерживающих это решение для защиты информации. Администраторы могут также отслеживать защищенные файлы и электронные сообщения, которыми владеет организация, и управлять ими.

Примечание

Эти сведения о конфигурации предназначены для администраторов, отвечающих за службу, применимую ко всем пользователям в организации. Если вам нужна информация для пользователей о применении возможностей службы Rights Management для определенного приложения или о том, как открыть файл или сообщение электронной почты, защищенные правами, используйте справку и документацию по приложению.

Например, для приложений Office, щелкните значок «Справка» и введите поисковый запрос, например Rights Management или IRM. Инструкции для клиента Azure Information Protection для Windows см. в статье Руководство пользователя Azure Information Protection.

Сведения о вариантах технической поддержки и ответы на другие вопросы о службе см. в разделе Варианты поддержки и ресурсы сообщества.

Автоматическая активация Rights Management Azure

Если у вас есть план обслуживания, включающий Azure Rights Management, вам может не потребоваться активировать службу:

  • Если ваша подписка, включающая Rights Management Azure или Azure Information Protection, была получена до конца февраля 2018 или более поздних версий, служба автоматически активируется. Вам не нужно активировать службу, если вы или другой глобальный администратор организации не отключали службу Azure Rights Management.

  • Если ваша подписка, включающая Rights Management Azure или Azure Information Protection, была получена до или в течение февраля 2018: Корпорация Майкрософт активирует службу Rights Management Azure для этих подписок, если клиент использует Exchange Online. Для этих подписок служба будет активирована, если при выполнении Get-IRMConfigurationвы не увидите, что аутоматиксервицеупдатинаблед имеет значение false .

Если ни один из перечисленных сценариев не применим к вам, необходимо активировать службу защиты вручную.

После активации службы все пользователи в организации смогут применять защиту информации к своим документам и сообщениям электронной почты, а также открывать (использовать) документы и сообщения, защищенные с помощью службы Azure Rights Management. При желании можно ограничить список пользователей, которые могут применять защиту информации, с помощью элементов управления переносом для проведения поэтапного развертывания. Дополнительные сведения см. в разделе: Настройка элементов управления переносом для поэтапного развертывания в этой статье.

Как активировать или подтвердить состояние службы защиты

Важно!

Не активируйте службу защиты, если для вашей организации развернута службы Active Directory Rights Management (AD RMS). Дополнительные сведения

Чтобы использовать это решение по защите данных, в организации нужен план обслуживания, куда входит служба Azure Rights Management из Azure Information Protection. Без этого активация службы защиты невозможна. Вам потребуется

Когда служба защиты активирована, все пользователи в организации могут применять защиту информации к своим документам и сообщениям электронной почты, а все пользователи могут открывать (потреблять) документы и сообщения электронной почты, защищенные этой службой. При желании можно ограничить список пользователей, которые могут применять защиту информации, с помощью элементов управления переносом для проведения поэтапного развертывания. Дополнительные сведения см. в разделе: Настройка элементов управления переносом для поэтапного развертывания в этой статье.

Поддерживаемые методы активации

Чтобы получить инструкции по активации службы защиты на портале управления, укажите, следует ли использовать Microsoft 365 центре администрирования или портал Azure.

В противном случае используйте следующие команды PowerShell.

  1. Установите модуль Аипсервице, чтобы настроить службу защиты и управлять ею. Инструкции см. в разделе Установка модуля PowerShell для аипсервице.

  2. В сеансе PowerShell выполните Connect-аипсервицеи при появлении запроса укажите сведения об учетной записи глобального администратора для клиента Azure Information Protection.

  3. Выполните команду Get-аипсервице , чтобы проверить, активирована ли служба защиты. Состояние Включена подтверждает включение; Отключена означает, что служба отключена.

  4. Чтобы активировать службу, выполните команду Enable-аипсервице.

Настройка элементов управления переносом для поэтапного развертывания

Если вы не хотите, чтобы все пользователи могли защищать документы и сообщения электронной почты немедленно с помощью Azure Information Protection, можно настроить элементы управления адаптации пользователей с помощью команды PowerShell Set-аипсервицеонбоардингконтролполици . Вы можете выполнить эту команду до или после активации службы Azure Rights Management.

Например, если изначально требуется, чтобы только администраторы в группе "ИТ-отдел" (с идентификатором объекта fbb99ded-32a0-45f1-b038-38b519009503) смогли защищать содержимое для тестирования, используйте следующую команду:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Обратите внимание, что для этого варианта настройки необходимо указать группу; вы не можете указать отдельных пользователей. Чтобы получить идентификатор объекта для группы, можно использовать модуль PowerShell Azure AD, например для версии модуля 1.0 используйте команду Get-MsolGroup. Также можно скопировать идентификатор объекта группы с портала Azure.

Если же необходимо гарантировать, что только пользователи, которые имеют соответствующие лицензии для использования Azure Information Protection, смогут защищать содержимое.

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Если вам больше не нужно использовать элементы управления для перехода (как в группе, так и при лицензировании), выполните такую команду.

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Дополнительные сведения об этом командлете и дополнительные примеры см. в справке Set-аипсервицеонбоардингконтролполици .

При использовании этого варианта все пользователи в организации всегда смогут использовать защищенный контент, который был защищен неким подмножеством пользователей, но при этом не смогут самостоятельно применять механизмы защиты информации из клиентских приложений. Например, они не увидят в приложениях Office шаблоны защиты по умолчанию, которые автоматически публикуются при активации службы защиты, или настраиваемые шаблоны, которые можно настроить. Серверные приложения, такие как Exchange, могут реализовывать собственные пользовательские элементы управления для получения одного и того же результата. Например, чтобы запретить пользователям защищать сообщения электронной почты в Outlook в Интернете, используйте OwaMailboxPolicy, чтоб присвоить параметру IRMEnabled значение $false.

Дальнейшие действия

Когда служба защиты активирована для Организации, используйте стратегию развертывания Azure Information Protection , чтобы проверить, есть ли другие этапы настройки, которые могут потребоваться перед развертыванием Azure Information Protection для пользователей и администраторов.

Например, можно использовать шаблоны , чтобы упростить применение защиты к файлам, подключить локальные серверы для использования службы защиты, установив соединитель Rights Management, а также развернуть клиент Azure Information Protection , поддерживающий защиту всех типов файлов на всех устройствах.

Для служб Office, таких как Exchange Online и Microsoft SharePoint, требуется дополнительная настройка, прежде чем можно будет использовать свои сведения о функциях Rights Management (IRM). Сведения о том, как приложения работают со службой защиты, Rights Management Azure, см. в статье как приложения поддерживают службу azure Rights Management.