Стратегия развертывания azure Information Protection только для защиты

Используйте следующие шаги в качестве рекомендаций, которые помогут вам подготовиться, реализовать и управлять azure Information Protection для вашей организации, если вы хотите реализовать только защиту данных.

Эта стратегия рекомендуется для клиентов с подпиской, которая не поддерживает как классификацию, так и метки, но поддерживает защиту без меток. Необходимо установить классический клиент AIP.

Процесс развертывания

Выполните следующие шаги.

1. Убедитесь, что у вас есть подписка, включающая службу защиты AIP.
2. Подготовка клиента для использования Azure Information Protection
3. Установка классической и клиентской конфигурации приложений и служб Azure Information Protection для Rights Management
4. Использование и отслеживание решений для защиты данных
5. Администрирование службы защиты для учетной записи клиента в соответствии с потребностями

Убедитесь, что у вас есть подписка, включающая службу защиты AIP.

Убедитесь, что в вашей организации есть подписка, включающая ожидаемые функции и функции. Назначьте лицензию из этой подписки каждому пользователю в вашей организации, который будет защищать документы и сообщения электронной почты.

Важно!

Не назначайте вручную лицензии пользователей из бесплатной подписки RMS для частных лиц и не используйте эту лицензию для администрирования службы Azure Rights Management для своей организации.

Эти лицензии отображаются как Rights Management Adhoc в Центре администрирования Microsoft 365 и RIGHTSMANAGEMENT_ADHOC при запуске командлета Azure AD PowerShell, Get-MsolAccountSku.

Дополнительные сведения об автоматическом предоставлении и назначении пользователям подписки на RMS для частных лиц см. в разделе RMS для частных лиц и Azure Information Protection.

Подготовка клиента для использования Azure Information Protection

Перед началом использования службы защиты Azure Information Protection необходима следующая подготовка.

1. Настройка учетных записей пользователей и групп для AIP

   Убедитесь, что клиент Microsoft 365 содержит учетные записи пользователей и группы, которые будут использоваться Azure Information Protection для проверки подлинности и авторизации пользователей из вашей организации. При необходимости создайте эти учетные записи и группы или синхронизируйте их из локального каталога.

   Дополнительные сведения см. в статье Подготовка пользователей и групп к использованию в Azure Information Protection.

2. Выбор способа управления ключом клиента

   Примите решение, будет ли Майкрософт управлять ключом клиента (по умолчанию), или вы хотите создать ключ клиента и управлять им самостоятельно (сценарий BYOK). Для дополнительной безопасности реализуйте защиту "держать собственный ключ" (HYOK).

   См. дополнительные сведения о планировании и реализации ключа клиента Azure Information Protection.

3. Установка PowerShell для AIP

   Установите модуль PowerShell для AIPService по крайней мере на одном компьютере с доступом к Интернету. Это действие можно выполнить сейчас или позднее.

   Дополнительные сведения см. в разделе "Установка модуля AIPService PowerShell".

4. Только AD RMS: перенос данных в облако

   Если вы используете AD RMS, перенесите ключи, шаблоны и URL-адреса в облако.

   Дополнительные сведения см. в статье Переход с AD RMS на службу Azure Information Protection.

5. Активация защиты

   Активируйте службу защиты, чтобы начать защищать документы и электронные письма. При развертывании на этапах настройте элементы управления адаптацией пользователей, чтобы ограничить возможность применения защиты пользователями.

   Дополнительные сведения см. в статье об активации службы защиты в Azure Information Protection.

6. Настройка дополнительных функций при необходимости

   Рассмотрите возможность настройки любой из следующих функций: сейчас или более поздней версии.

   Компонент	Описание
   Пользовательские шаблоны для параметров защиты	Если шаблонов по умолчанию недостаточно для вашей организации, настройте настраиваемые шаблоны. Дополнительные сведения см. в статье о настройке шаблонов azure Information Protection и управлении ими.
   Ведение журнала использования	Настройте ведение журнала использования, чтобы отслеживать, как ваша организация использует службу защиты. Дополнительные сведения см. в статье "Ведение журналов" и анализ использования защиты от Information Protection Azure.

Установка классической и клиентской конфигурации приложений и служб Azure Information Protection для Rights Management

Выполните следующие шаги.

1. Развертывание классического клиента Azure Information Protection

   Установите классический клиент для пользователей для защиты файлов, отличных от Office документов и сообщений электронной почты, а также для отслеживания защищенных документов, а также для обучения пользователей для этого клиента. Дополнительные сведения см. в статье о классическом клиенте Azure Information Protection для Windows.

2. Настройка приложений и служб Office

   Настройте Office приложения и службы для функций управления правами на доступ к данным (IRM) в SharePoint или Exchange Online.

   Дополнительные сведения см. в статье "Настройка приложений для Azure Rights Management".

3. Настройка функции суперпользователя для восстановления данных

   Если у вас есть ИТ-службы, которым требуется проверять файлы, защищаемые с помощью Azure Information Protection, например решения по предотвращению утечек данных (DLP), шлюзы шифрования содержимого (CEG) и продукты для защиты от вредоносных программ, настройте учетные записи таких служб в качестве суперпользователей для Azure Rights Management.

   Дополнительные сведения см. в статье о настройке суперпользователей для служб Information Protection Azure и служб обнаружения или восстановления данных.

4. Защита существующих файлов в пакетном режиме

   Командлеты PowerShell можно использовать для применения и отмены пакетной защиты для нескольких типов файлов.

   Дополнительные сведения см. в руководстве администратора по использованию PowerShell с клиентом Azure Information Protection.

   Для файлов на файловых серверах Windows эти командлеты можно использовать с помощью сценария и инфраструктуры классификации файлов Windows Server. Дополнительные сведения см. в статье Использование защиты RMS совместно с инфраструктурой классификации файлов (FCI) Windows Server.

5. Развертывание соединителя для локальных серверов

   Если у вас есть локальные службы, которые планируется использовать со службой защиты, установите и настройте соединитель Rights Management.

   Дополнительные сведения см. в статье Развертывание соединителя службы управления правами Microsoft.

Использование и отслеживание решений для защиты данных

Теперь вы готовы защитить свои данные и зарегистрировать, как ваша компания использует службу защиты.

Дополнительные сведения можно найти в разделе

• Помощь пользователям в защите файлов с применением службы Azure Rights Management
• Ведение журнала и анализ использования защиты из Azure Information Protection

Администрирование службы защиты для учетной записи клиента в соответствии с потребностями

Начав использовать службу защиты, вы можете создавать сценарии и автоматизировать административные изменения при помощи PowerShell. PowerShell также может потребоваться для некоторых расширенных конфигураций.

Дополнительные сведения см. в статье "Администрирование защиты от Information Protection Azure с помощью PowerShell".

Дальнейшие действия

При развертывании Azure Information Protection может оказаться полезным проверить часто задаваемые вопросы и страницу сведений и поддержки дополнительных ресурсов.