Стратегия развертывания azure Information Protection только для защиты
Используйте следующие шаги в качестве рекомендаций, которые помогут вам подготовиться, реализовать и управлять azure Information Protection для вашей организации, если вы хотите реализовать только защиту данных.
Эта стратегия рекомендуется для клиентов с подпиской, которая не поддерживает как классификацию, так и метки, но поддерживает защиту без меток. Необходимо установить классический клиент AIP.
Процесс развертывания
Выполните следующие шаги.
- Убедитесь, что у вас есть подписка, включающая службу защиты AIP.
- Подготовка клиента для использования Azure Information Protection
- Установка классической и клиентской конфигурации приложений и служб Azure Information Protection для Rights Management
- Использование и отслеживание решений для защиты данных
- Администрирование службы защиты для учетной записи клиента в соответствии с потребностями
Убедитесь, что у вас есть подписка, включающая службу защиты AIP.
Убедитесь, что в вашей организации есть подписка, включающая ожидаемые функции и функции. Назначьте лицензию из этой подписки каждому пользователю в вашей организации, который будет защищать документы и сообщения электронной почты.
Важно!
Не назначайте вручную лицензии пользователей из бесплатной подписки RMS для частных лиц и не используйте эту лицензию для администрирования службы Azure Rights Management для своей организации.
Эти лицензии отображаются как Rights Management Adhoc в Центре администрирования Microsoft 365 и RIGHTSMANAGEMENT_ADHOC при запуске командлета Azure AD PowerShell, Get-MsolAccountSku.
Дополнительные сведения об автоматическом предоставлении и назначении пользователям подписки на RMS для частных лиц см. в разделе RMS для частных лиц и Azure Information Protection.
Подготовка клиента для использования Azure Information Protection
Перед началом использования службы защиты Azure Information Protection необходима следующая подготовка.
Настройка учетных записей пользователей и групп для AIP
Убедитесь, что клиент Microsoft 365 содержит учетные записи пользователей и группы, которые будут использоваться Azure Information Protection для проверки подлинности и авторизации пользователей из вашей организации. При необходимости создайте эти учетные записи и группы или синхронизируйте их из локального каталога.
Дополнительные сведения см. в статье Подготовка пользователей и групп к использованию в Azure Information Protection.
Выбор способа управления ключом клиента
Примите решение, будет ли Майкрософт управлять ключом клиента (по умолчанию), или вы хотите создать ключ клиента и управлять им самостоятельно (сценарий BYOK). Для дополнительной безопасности реализуйте защиту "держать собственный ключ" (HYOK).
См. дополнительные сведения о планировании и реализации ключа клиента Azure Information Protection.
Установка PowerShell для AIP
Установите модуль PowerShell для AIPService по крайней мере на одном компьютере с доступом к Интернету. Это действие можно выполнить сейчас или позднее.
Дополнительные сведения см. в разделе "Установка модуля AIPService PowerShell".
Только AD RMS: перенос данных в облако
Если вы используете AD RMS, перенесите ключи, шаблоны и URL-адреса в облако.
Дополнительные сведения см. в статье Переход с AD RMS на службу Azure Information Protection.
Активация защиты
Активируйте службу защиты, чтобы начать защищать документы и электронные письма. При развертывании на этапах настройте элементы управления адаптацией пользователей, чтобы ограничить возможность применения защиты пользователями.
Дополнительные сведения см. в статье об активации службы защиты в Azure Information Protection.
Настройка дополнительных функций при необходимости
Рассмотрите возможность настройки любой из следующих функций: сейчас или более поздней версии.
Компонент Описание Пользовательские шаблоны для параметров защиты Если шаблонов по умолчанию недостаточно для вашей организации, настройте настраиваемые шаблоны.
Дополнительные сведения см. в статье о настройке шаблонов azure Information Protection и управлении ими.Ведение журнала использования Настройте ведение журнала использования, чтобы отслеживать, как ваша организация использует службу защиты.
Дополнительные сведения см. в статье "Ведение журналов" и анализ использования защиты от Information Protection Azure.
Установка классической и клиентской конфигурации приложений и служб Azure Information Protection для Rights Management
Выполните следующие шаги.
Развертывание классического клиента Azure Information Protection
Установите классический клиент для пользователей для защиты файлов, отличных от Office документов и сообщений электронной почты, а также для отслеживания защищенных документов, а также для обучения пользователей для этого клиента. Дополнительные сведения см. в статье о классическом клиенте Azure Information Protection для Windows.
Настройка приложений и служб Office
Настройте Office приложения и службы для функций управления правами на доступ к данным (IRM) в SharePoint или Exchange Online.
Дополнительные сведения см. в статье "Настройка приложений для Azure Rights Management".
Настройка функции суперпользователя для восстановления данных
Если у вас есть ИТ-службы, которым требуется проверять файлы, защищаемые с помощью Azure Information Protection, например решения по предотвращению утечек данных (DLP), шлюзы шифрования содержимого (CEG) и продукты для защиты от вредоносных программ, настройте учетные записи таких служб в качестве суперпользователей для Azure Rights Management.
Дополнительные сведения см. в статье о настройке суперпользователей для служб Information Protection Azure и служб обнаружения или восстановления данных.
Защита существующих файлов в пакетном режиме
Командлеты PowerShell можно использовать для применения и отмены пакетной защиты для нескольких типов файлов.
Дополнительные сведения см. в руководстве администратора по использованию PowerShell с клиентом Azure Information Protection.
Для файлов на файловых серверах Windows эти командлеты можно использовать с помощью сценария и инфраструктуры классификации файлов Windows Server. Дополнительные сведения см. в статье Использование защиты RMS совместно с инфраструктурой классификации файлов (FCI) Windows Server.
Развертывание соединителя для локальных серверов
Если у вас есть локальные службы, которые планируется использовать со службой защиты, установите и настройте соединитель Rights Management.
Дополнительные сведения см. в статье Развертывание соединителя службы управления правами Microsoft.
Использование и отслеживание решений для защиты данных
Теперь вы готовы защитить свои данные и зарегистрировать, как ваша компания использует службу защиты.
Дополнительные сведения можно найти в разделе
- Помощь пользователям в защите файлов с применением службы Azure Rights Management
- Ведение журнала и анализ использования защиты из Azure Information Protection
Администрирование службы защиты для учетной записи клиента в соответствии с потребностями
Начав использовать службу защиты, вы можете создавать сценарии и автоматизировать административные изменения при помощи PowerShell. PowerShell также может потребоваться для некоторых расширенных конфигураций.
Дополнительные сведения см. в статье "Администрирование защиты от Information Protection Azure с помощью PowerShell".
Дальнейшие действия
При развертывании Azure Information Protection может оказаться полезным проверить часто задаваемые вопросы и страницу сведений и поддержки дополнительных ресурсов.