从 Azure 信息保护激活保护服务

适用于:Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

本文介绍管理员如何激活 Azure 信息保护的 Azure Rights Management 保护服务 (AIP) 。 为组织激活保护服务后,管理员和用户可以开始使用支持此信息保护解决方案的应用程序和服务保护重要数据。 管理员还可以管理和监视组织拥有受保护的文档和电子邮件。

注意

此配置信息适用于负责适用于组织中所有用户的服务的管理员。 如果要查找用户帮助和信息,以使用特定应用程序的权利管理功能或如何打开受权限保护的文件或电子邮件,请使用应用程序随附的帮助和指导。

例如,对于Office,请单击"帮助"图标并输入搜索词,如"权限管理"或"IRM"。 有关适用于 Windows 的 Azure 信息保护客户端,请参阅Azure 信息保护客户端用户指南

有关服务的技术支持和其他问题,请参阅支持 选项和社区资源 信息。

Azure Rights Management 的自动激活

当服务计划包含 Azure Rights Management 时,可能不需要激活该服务:

  • 如果包含 Azure Rights Management 或 Azure 信息保护的订阅是在2018年 2 月底或以后获得的:系统会自动激活该服务。 除非你或组织的另一个全局管理员已停用 Azure Rights Management,否则不需要激活该服务。

  • 如果包含 Azure Rights Management 或 Azure 信息保护的订阅是在2018年 2 月之前或期间获取的:如果租户使用 Azure Rights Management 服务,Microsoft 将激活这些订阅的 Azure Exchange Online。 对于这些订阅,将激活该服务,除非运行Get-IRMConfiguration时看到AutomaticServiceUpdateEnabled设置为 false。

如果列出的方案都不适用,则必须手动激活保护服务。

激活该服务后,组织中的所有用户都可以向其文档和电子邮件应用信息保护,并且所有用户都可以打开 (,使用 Azure Rights Management 服务保护的) 文档和电子邮件。 但是,如果愿意,可以通过对分阶段部署使用载入控件来限制谁可以应用信息保护。 有关详细信息,请参阅本文 中的为分阶段部署 配置载入控件部分。

如何激活或确认保护服务的状态

重要

如果为组织部署了 AD RMS Active Directory Rights Management Services (,) 激活保护服务。 详细信息

若要使用此数据保护解决方案,组织必须具有包含 Azure 信息保护中的 Azure Rights Management 服务的服务计划。 如果没有此功能,将无法激活保护服务。 必须具有下列其中一项:

激活保护服务后,组织中的所有用户都可以向其文档和电子邮件应用信息保护,并且所有用户都可以打开 (使用受此服务保护的) 文档和电子邮件。 但是,如果愿意,可以通过对分阶段部署使用载入控件来限制谁可以应用信息保护。 有关详细信息,请参阅本文 中的为分阶段部署 配置载入控件部分。

通过 PowerShell 激活保护

此过程介绍如何使用 PowerShell 在 Azure RMS (权限) 服务。

  1. 安装 AIPService 模块,以配置和管理保护服务。 有关说明, 请参阅安装 AIPService PowerShell 模块

  2. 在 PowerShell 会话中,运行 连接-AipService,出现提示时,请提供 Azure 信息保护租户的全局管理员帐户详细信息。

  3. 运行 Get-AipService 以确认是否已激活保护服务。 状态为 "已启用 "确认激活; 禁用表示服务已停用。

  4. 若要激活服务,请运行 Enable-AipService

从 Azure 门户激活保护

此过程介绍如何从 Azure 门户 (Azure RMS) 权限管理保护服务。

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再为经典客户端提供进一步的支持,并且不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

本文中的内容仅支持具有扩展支持的客户。 所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

  1. 转到 并登录到 Azure 门户。 然后导航到 "Azure 信息保护" 窗格。

    例如,在资源、服务和文档搜索框中:开始键入"信息",然后选择"Azure 信息保护"。

    如果以前尚未访问"Azure 信息保护"窗格,请参阅将此窗格添加到门户的一次其他步骤。

    若要打开"Azure 信息保护"窗格,必须具有 Azure 信息保护高级版计划或包含权限Office 365计划。 如果你有这些订阅之一,但看到一条消息,指出找不到有效的订阅,请联系 Microsoft 支持 或使用标准支持渠道。

  2. 找到"管理"菜单选项,然后选择"保护激活"。

    单击 "激活",然后确认操作。

激活完成后,信息栏会显示"激活成功完成"。

为分阶段部署配置载入控件

如果不希望所有用户能够立即使用 Azure 信息保护保护文档和电子邮件,可以使用 Set-AipServiceOnboardingControlPolicy PowerShell 命令配置用户载入控件。 可以在激活 Azure Rights Management 服务之前或之后运行此命令。

例如,如果最初仅希望"IT 部门"组 (对象 ID 为 fbb99ded-32a0-45f1-b038-38b519009503) 的管理员能够出于测试目的保护内容,请使用以下命令:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

请注意,对于此配置选项,必须指定组;不能指定单个用户。 若要获取组的对象 ID,可以使用 powerShell Azure AD例如,对于模块版本 1.0,请使用Get-MsolGroup命令。 或者,可以从 Azure 门户复制 组的"对象 ID"值。

或者,如果希望确保只有获得正确许可才能使用 Azure 信息保护的用户才能保护内容:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

如果不再需要使用载入控件,无论是使用组还是许可选项,请运行:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

有关此 cmdlet 和其他示例的详细信息,请参阅 Set-AipServiceOnboardingControlPolicy 帮助。

使用这些载入控件时,组织中所有用户始终可以使用受用户子集保护的受保护内容,但无法自行应用信息保护,避免客户端应用程序。 例如,他们将不会在应用Office激活保护服务时自动发布的默认保护模板,或者你可能配置的自定义模板。 服务器端应用程序(例如 Exchange)可以实现自己的按用户控件,以实现相同的结果。 例如,若要防止用户保护 Outlook 网页版 中的电子邮件,请使用Set-OwaMailboxPolicyIRMEnabled参数设置为$false。

下一步

为组织激活保护服务后,使用 Azure 信息保护部署路线图检查在向用户和管理员推出 Azure 信息保护之前,是否需要执行其他配置步骤。

例如,你可能希望使用模板让用户更轻松地对文件应用保护,通过安装Rights Management连接器连接本地服务器以使用保护服务,并部署支持保护所有设备上所有文件类型的Azure信息保护客户端。

Office服务(例如 Exchange Online 和 Microsoft SharePoint)需要进行其他配置,然后才能使用其信息权限管理 (IRM) 功能。 有关应用程序如何与保护服务(Azure Rights Management)一起运行的信息,请参阅应用程序如何 支持 Azure Rights Management 服务