從 Azure 資訊保護 啟用保護服務

  • 發行項

本文說明系統管理員如何啟用適用於 Azure 資訊保護 的 Azure Rights Management 保護服務(AIP)。 為組織啟用保護服務時,系統管理員和使用者可以使用支援此資訊保護解決方案的應用程式和服務,開始保護重要數據。 管理員 istrators 也可以管理及監視貴組織所擁有的受保護文件和電子郵件。

本文中的此組態資訊適用於負責套用至組織中所有使用者之服務的系統管理員。 如果您要尋找使用者說明與資訊,以針對特定應用程式使用 Rights Management 功能,或如何開啟受版權保護的檔案或電子郵件,請使用應用程式隨附的說明和指引。

如需有關服務的技術支援和其他問題,請參閱 支援選項和社群資源 資訊。

Azure Rights Management 的自動啟用

當您有包含 Azure Rights Management 的服務方案時,可能不需要啟用服務:

  • 如果您的訂用帳戶包含 Azure Rights Management 或 Azure 資訊保護 已於 2018 年 2 月底或更新版本取得:服務會自動為您啟用。 除非您或其他組織的全域管理員停用 Azure Rights Management,否則您不需要啟用服務。

  • 如果您的訂用帳戶包含 Azure Rights Management 或 Azure 資訊保護,是在 2018 年 2 月之前或期間取得:如果您的租使用者使用 Exchange Online,Microsoft 會啟用這些訂用帳戶的 Azure Rights Management 服務。 針對這些訂用帳戶,除非您在執行 Get-IRMConfiguration 時看到 AutomaticServiceUpdateEnabled 設定為 false,否則系統會為您啟用服務。

如果上述兩個案例都不適用於您,您必須手動啟用保護服務。

如何啟用或確認保護服務的狀態

重要

如果您的組織已部署 Active Directory Rights Management Services (AD RMS),請勿啟用保護服務。 詳細資訊

若要啟用保護服務,您的組織必須有一個服務方案,其中包含來自 Azure 資訊保護 的 Azure Rights Management 服務。 如需詳細資訊,請參閱 安全性與合規性的 Microsoft 365 授權指引。

啟用保護服務時,組織中的所有使用者都可以將資訊保護套用至其文件和電子郵件,而所有使用者都可以開啟(取用)此服務所保護的檔和電子郵件。 不過,如果您想要的話,您可以使用分階段部署的上線控件來限制誰可以套用信息保護。 如需詳細資訊,請參閱 本文中的設定階段式部署 的上線控件一節。

透過PowerShell啟用保護

您必須使用 PowerShell 來啟用 Rights Management 保護服務 (Azure RMS)。 您無法再從 Azure 入口網站 啟動或停用此服務。

  1. 安裝 AIPService 模組,以設定和管理保護服務。 如需指示,請參閱 安裝 AIPService PowerShell 模組

  2. 從 PowerShell 會話中,執行 連線-AipService,並在出現提示時,提供 Azure 資訊保護 租使用者的全域 管理員 istrator 帳戶詳細數據。

  3. 執行 Get-AipService 以確認是否已啟動保護服務。 [已啟用] 的狀態會確認啟用; Disabled 表示服務已停用。

  4. 若要啟用服務,請執行 Enable-AipService

設定階段式部署的上線控制件

如果您不希望所有使用者都能夠使用 Azure 資訊保護 立即保護文件和電子郵件,您可以使用 Set-AipServiceOnboardingControlPolicy PowerShell 命令來設定使用者上線控件。 您可以在啟動 Azure Rights Management 服務之前或之後執行此命令。

例如,如果您一開始只想要「IT 部門」群組中的系統管理員(其對象標識碼為 fbb99ded-32a0-45f1-b038-38b519009503)能夠保護內容以供測試之用,請使用下列命令:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

請注意,針對此組態選項,您必須指定群組;您無法指定個別使用者。 若要取得群組的對象標識碼,您可以使用 Microsoft Graph PowerShell,例如,針對模組 1.0 版,請使用 Get-MgGroup 命令。 或者,您可以從 Azure 入口網站 複製群組的物件識別碼值。

或者,如果您想要確保只有已正確授權使用 Azure 資訊保護 的使用者才能保護內容:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

當您不再需要使用上線控制項時,不論您使用群組或授權選項,請執行:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

如需此 Cmdlet 和其他範例的詳細資訊,請參閱 Set-AipServiceOnboardingControlPolicy 說明。

當您使用這些上線控制件時,組織中的所有使用者一律可以取用受使用者子集保護的受保護內容,但無法自行套用用戶端應用程式的信息保護。 Exchange 等伺服器端應用程式可以實作自己的每個使用者控件,以達到相同的結果。 例如,若要防止用戶保護 Outlook 網頁版 中的電子郵件,請使用Set-OwaMailboxPolicy 將 IRMEnabled 參數設定$false

下一步

現在已為組織啟用保護服務,應用程式和服務可以套用加密來協助保護您的數據。 套用加密的最簡單方式之一是使用來自 Microsoft Purview 資訊保護的敏感度標籤