Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как администраторы могут активировать службу шифрования Azure Rights Management для Защита информации Microsoft Purview. Когда эта служба шифрования активирована для вашей организации, администраторы и пользователи могут начать защищать важные данные с помощью приложений и служб, поддерживающих это решение для шифрования. Администраторы также могут управлять зашифрованными элементами, принадлежащими вашей организации, и отслеживать их.
Сведения о конфигурации в этой статье предназначены для администраторов, которые отвечают за службу, которая применяется ко всем пользователям в организации. Если вы ищете справку и информацию для использования функций Rights Management для определенного приложения или открытия файла или электронной почты, защищенных правами, воспользуйтесь справкой и руководством, которые будут сопровождать приложение.
Автоматическая активация службы Azure Rights Management
Если у вас есть план обслуживания, включающий службу Azure Rights Management, возможно, вам не потребуется активировать службу:
Если ваша подписка, включающая службу Azure Rights Management, Azure Information Protection (прежнее имя) или Защита информации Microsoft Purview была получена в конце февраля 2018 года или позже, служба автоматически активируется. Вам не нужно активировать службу, если вы или другой администратор вашей организации не деактивировали службу Azure Rights Management.
Если ваша подписка, включающая службу Azure Rights Management, Azure Information Protection (прежнее имя) или Защита информации Microsoft Purview была получена до или в течение февраля 2018 г., корпорация Майкрософт активирует Azure Служба Rights Management для этих подписок, если клиент использует Exchange Online. Для этих подписок служба будет активирована, если вы не увидите, что параметр AutomaticServiceUpdateEnabled имеет значение false при запуске Get-IRMConfiguration.
Если ни один из перечисленных сценариев не относится к вам, необходимо вручную активировать службу Azure Rights Management.
Активация или подтверждение состояния службы шифрования
Важно!
Не активируйте службу Azure Rights Management, если в вашей организации развернуты службы Active Directory Rights Management (AD RMS). Дополнительные сведения
Чтобы активировать службу Azure Rights Management, в вашей организации должен быть план обслуживания, включающий службу Azure Rights Management из Защита информации Microsoft Purview. Дополнительные сведения см. в статье Руководство по лицензированию Microsoft 365 по обеспечению соответствия требованиям безопасности &.
При активации службы Azure Rights Management все пользователи в организации могут применять шифрование к таким элементам, как документы и сообщения электронной почты, а все пользователи могут открывать (использовать) элементы, зашифрованные этой службой. Однако при желании можно ограничить пользователей, которые могут применять это шифрование, используя элементы управления подключения для поэтапного развертывания. Дополнительные сведения см. в разделе Настройка элементов управления подключения для поэтапного развертывания этой статьи.
Активация службы Azure Rights Management с помощью PowerShell
Для активации службы Azure Rights Management необходимо использовать PowerShell. Вы больше не можете активировать или деактивировать эту службу на порталах администрирования.
Установите модуль AIPService, чтобы настроить службу Azure Rights Management и управлять ею. Инструкции см. в статье Установка модуля AIPService PowerShell для службы Azure Right Management.
В сеансе PowerShell запустите Connect-AipService и войдите с ролью, которая имеет разрешения на активацию службы Azure Rights Management для вашего клиента. Например, роль администратора соответствия требованиям или роль администратора данных соответствия требованиям.
Запустите Командлет Get-AipService, чтобы проверить, активирована ли служба Azure Rights Management. Состояние Включено подтверждает активацию; Отключено означает, что служба отключена.
Чтобы активировать службу, выполните команду Enable-AipService.
Настройка элементов управления подключения для поэтапного развертывания
Если вы не хотите, чтобы все пользователи могли шифровать документы и сообщения электронной почты немедленно с помощью службы Azure Rights Management, можно настроить элементы управления подключением пользователей с помощью команды PowerShell Set-AipServiceOnboardingControlPolicy. Эту команду можно выполнить до или после активации службы Azure Rights Management.
Например, если вы изначально хотите, чтобы только администраторы в группе "ИТ-отдел" (с идентификатором объекта aaaaaaaaaa-0000-1111-2222-bbbbbb) могли защищать содержимое в целях тестирования, используйте следующую команду:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
Для этого параметра конфигурации необходимо указать группу; вы не можете указать отдельных пользователей. Чтобы получить идентификатор объекта для группы, можно использовать Microsoft Graph PowerShell, например для версии 1.0 модуля используйте команду Get-MgGroup . Кроме того, можно скопировать значение идентификатора объекта группы из портал Azure.
Кроме того, если вы хотите убедиться, что только пользователи, имеющие правильную лицензию на использование службы Azure Rights Management, могут защищать содержимое:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True
Если вам больше не нужно использовать элементы управления подключением, независимо от того, использовали ли вы параметр "Группа" или "Лицензирование", выполните следующую команду:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
Дополнительные сведения об этом командлете и дополнительные примеры см. в справке по Set-AipServiceOnboardingControlPolicy .
При использовании этих элементов управления подключением все пользователи в организации всегда могут использовать зашифрованное содержимое, которое было защищено вашим подмножеством пользователей, но они не смогут самостоятельно применять шифрование из клиентских приложений. Серверные приложения, такие как Exchange, могут реализовывать собственные элементы управления для каждого пользователя для достижения того же результата. Например, чтобы запретить пользователям защищать сообщения электронной почты в Outlook в Интернете, используйте set-OwaMailboxPolicy, чтобы задать для параметра IRMEnabledзначение $false.
Дальнейшие действия
Теперь, когда служба Azure Rights Management активирована для вашей организации, приложения и службы могут применять шифрование для защиты данных. Самый простой и рекомендуемый способ применения шифрования — использование меток конфиденциальности из Защита информации Microsoft Purview. Если вы готовы сделать это, см. статью Начало работы с метками конфиденциальности.
Простой тест проверки для службы Azure Rights Management заключается в применении метки конфиденциальности, которая шифрует документ или сообщение электронной почты с помощью одной учетной записи пользователя. Затем попытайтесь открыть и использовать зашифрованное содержимое из другой учетной записи пользователя на другом компьютере.