僅限保護的 Azure 資訊保護部署藍圖

當您只想實作資料保護時，請使用下列步驟作為建議，協助您為組織準備、實作和管理 Azure 資訊保護。

對於訂閱不支援分類和標籤的客戶，建議使用此藍圖，但支援不含標籤的保護。 您必須安裝 AIP 傳統用戶端。

部署程序

請執行下列步驟：

1. 確認您有包含 AIP 保護服務的訂用帳戶
2. 準備要使用 Azure 資訊保護的租用戶
3. 安裝 Azure 資訊保護傳統和用戶端設定適用于Rights Management的應用程式和服務
4. 使用及監視您的資料保護解決方案
5. 視需要管理您租用戶帳戶的保護服務

確認您有包含 AIP 保護服務的訂用帳戶

確認貴組織有包含您預期功能與功能的訂用帳戶。 將此訂用帳戶的授權指派給組織中將保護檔和電子郵件的每個使用者。

重要

請勿從個人訂用帳戶的免費 RMS 手動指派使用者授權，且請勿使用此授權來管理您組織的 Azure Rights Management 服務。

這些授權在 Microsoft 365 系統管理中心內顯示為 Rights Management Adhoc，並在您執行 Azure AD PowerShell Cmdlet Get-msolaccountsku 時顯示為 RIGHTSMANAGEMENT_ADHOC。

如需個人訂用帳戶的 RMS 如何自動授予及指派給使用者的詳細資訊，請參閱個人及 Azure 資訊保護的 RMS。

準備要使用 Azure 資訊保護的租用戶

在您開始使用 Azure 資訊保護的保護服務之前，請完成下列準備工作：

1. 設定 AIP 的使用者帳戶和群組

   請確定您的Microsoft 365租使用者包含 Azure 資訊保護將使用的使用者帳戶和群組，以驗證和授權貴組織的使用者。 如有必要，請建立這些帳戶和群組，或從內部部署目錄進行同步處理。

   如需詳細資訊，請參閱準備 Azure 資訊保護的使用者和群組。

2. 決定您要如何管理租使用者金鑰

   決定是否要讓 Microsoft 管理您的租用戶金鑰 (預設)，或自行產生並管理租用戶金鑰 (稱為自帶金鑰或 BYOK)。 如需其他安全性，請實作「保留您自己的金鑰」 (HYOK) 保護。

   如需詳細資訊，請參閱規劃和實作 Azure 資訊保護租用戶金鑰。

3. 安裝適用于 AIP 的 PowerShell

   在至少一部可存取網際網路的電腦上安裝 AIPService 的 PowerShell 模組。 您可以現在執行這個步驟，或稍後再執行。

   如需詳細資訊，請參閱 安裝 AIPService PowerShell 模組。

4. 僅限 AD RMS：將資料移轉至雲端

   如果您目前正在使用 AD RMS：執行移轉以將金鑰、範本和 URL 移轉到雲端。

   如需詳細資訊，請參閱從 AD RMS 移轉至 Azure 資訊保護。

5. 啟用保護

   確認保護服務已啟用，以便您開始保護文件與電子郵件。 如果您要分階段部署，請設定使用者上線控制項來限制使用者套用保護的能力。

   如需詳細資訊，請參閱啟用 Azure 資訊保護的保護服務。

6. 視需要設定選擇性功能

   請考慮立即或更新版本設定下列其中一項功能。

   功能	描述
   用於保護設定的自訂範本	如果預設範本不足以用於您的組織，請設定自訂範本。 如需詳細資訊，請參閱設定和管理 Azure 資訊保護的範本。
   使用量記錄	設定使用記錄來監視貴組織使用保護服務的方式。 如需詳細資訊，請參閱記錄和分析來自 Azure 資訊保護的保護使用量。

安裝 Azure 資訊保護傳統和用戶端設定適用于Rights Management的應用程式和服務

請執行下列步驟：

1. 部署 Azure 資訊保護傳統用戶端

   安裝傳統用戶端，讓使用者保護Office檔和電子郵件以外的檔案，以及追蹤受保護的檔，並提供此用戶端的使用者訓練。 如需詳細資訊，請參閱適用于 Windows 的 Azure 資訊保護 傳統用戶端。

2. 設定 Office 應用程式和服務

   針對 SharePoint 或 Exchange Online 中的資訊版權管理 (IRM) 功能，設定Office應用程式和服務。

   如需詳細資訊，請參閱設定 Azure Rights Management的應用程式。

3. 設定進階使用者功能來執行資料復原

   如果您的現有 IT 服務需要檢查 Azure 資訊保護要保護的檔案 (例如資料外洩防護 (DLP) 解決方案、內容加密閘道 (CEG) 和反惡意程式碼產品)，請將服務帳戶設定為 Azure Rights Management 的進階使用者。

   如需詳細資訊，請參閱設定 Azure 資訊保護和探索服務或資料復原的進階使用者。

4. 保護大量現有的檔案

   您可以使用 PowerShell Cmdlet 來大量保護或大量取消保護多種檔案類型。

   如需詳細資訊，請參閱系統管理員指南中的使用 PowerShell 搭配 Azure 資訊保護用戶端 (英文)。

   針對 Windows 型檔案伺服器上的檔案，您可以使用這些 Cmdlet 與指令碼和 Windows Server 檔案分類基礎結構。 如需詳細資訊，請參閱 Windows Server 檔案分類基礎結構 (FCI) 的 RMS 保護。

5. 部署在內部部署伺服器的連接器

   如果您有要與保護服務搭配使用的內部部署服務，請安裝並設定 Rights Management 連接器。

   如需詳細資訊，請參閱部署 Microsoft Rights Management 連接器。

使用及監視您的資料保護解決方案

您現在已準備好保護資料，並記錄貴公司使用保護服務的方式。

如需詳細資訊，請參閱

• 協助使用者使用 Azure Rights Management 服務來保護檔案
• 記錄和分析來自 Azure 資訊保護的保護使用量

視需要管理您租用戶帳戶的保護服務

開始使用保護服務時，您可能會發現 PowerShell 相當實用，可協助為系統管理變更撰寫指令碼或加以自動化。 某些進階設定可能也需要 PowerShell。

如需詳細資訊，請參閱使用 PowerShell 管理來自 Azure 資訊保護的保護。

後續步驟

當您部署 Azure 資訊保護時，您可能會發現檢查常見問題，以及其他資源的資訊和支援頁面會很有説明。