Azure 信息保护部署路线图(仅限保护)

  • 项目

适用于:Azure 信息保护,Office 365

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 对于统一标记客户端,请参阅针对分类、标记和保护的 AIP 部署路线图

注意

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不提供对经典客户端的进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

本文中的内容仅为具有外延支持的客户提供支持。 有关详细信息,请参阅已删除和停用的服务

提示

也可参阅以下文章之一:

当你希望仅实施数据保护时,建议使用以下步骤,为组织准备、实施和管理 Azure 信息保护。

如果客户的订阅不能同时支持分类和标签,但支持无标签的保护,则建议使用此路线图。 必须安装 AIP 经典客户端。

部署过程

执行以下步骤:

  1. 确认你拥有包括 AIP 保护服务的订阅
  2. 准备租户以使用 Azure 信息保护
  3. 安装 Azure 信息保护经典客户端并为 Rights Management 配置应用程序和服务
  4. 使用和监视数据保护解决方案
  5. 根据需要管理租户帐户的保护服务

确认你拥有包括 AIP 保护服务的订阅

验证你的组织是否具有包含你期望的功能和特性的订阅。 将该订阅中的许可证分配给组织中的每位用户,这些用户将对文档和电子邮件进行保护。

重要

不要从个人订阅的免费 RMS 手动分配用户许可证,不要使用此许可证来管理组织的 Azure Rights Management 服务。

这些许可证在 Microsoft 365 管理中心显示为“权限管理即席”,当运行 Azure AD PowerShell cmdlet Get-MsolAccountSku 时显示为 RIGHTSMANAGEMENT_ADHOC

有关如何将个人订阅 RMS 自动授权和分配给用户的详细信息,请参阅个人 RMS 和 Azure 信息保护

准备租户以使用 Azure 信息保护

开始使用 Azure 信息保护提供的保护服务之前,请执行以下准备工作:

  1. 为你的用户帐户和组设置 AIP

    确保 Microsoft 365 租户包含 Azure 信息保护用来对组织中的用户进行身份验证和授权的用户帐户和组。 如有必要,请创建这些帐户和组,或者从本地目录同步这些帐户和组。

    有关详细信息,请参阅准备用户和组以便使用 Azure 信息保护

  2. 决定要如何管理租户密钥

    决定你是希望 Microsoft 管理你的租户密钥(默认设置),还是自行生成和管理你的租户密钥(也称为“自带密钥”,简称 BYOK)。 为提高安全性,请实施“保留自己的密钥”(HYOK) 保护。

    有关详细信息,请参阅规划和实现 Azure 信息保护租户密钥

  3. 安装适用于 AIP 的 PowerShell

    至少在一台可以访问 Internet 的计算机上安装适用于 AIPService 的 PowerShell 模块。 你可以立即执行此步骤,也可以稍后执行。

    有关详细信息,请参阅安装 AIPService PowerShell 模块

  4. 激活保护

    确保保护服务已激活,以便开始保护文档和电子邮件。 如果要分阶段部署,请配置用户加入控制以限制用户应用保护的能力。

    有关详细信息,请参阅激活 Azure 信息保护的保护服务

  5. 根据需要配置可选功能

    考虑现在或以后配置以下任一功能。

    功能 说明
    自定义保护设置模板 如果默认模板不足以满足你的组织的需要,请配置自定义模板。
    有关详细信息,请参阅
    使用情况日志记录 配置使用情况日志记录,以监视组织如何使用保护服务。
    有关详细信息,请参阅

安装 Azure 信息保护经典客户端并为 Rights Management 配置应用程序和服务

执行以下步骤:

  1. 部署 Azure 信息保护经典客户端

    为用户安装经典客户端以保护除 Office 文档和电子邮件之外的文件、跟踪受保护的文档,并向用户提供有关该客户端的培训。 有关详细信息,请参阅适用于 Windows 的 Azure 信息保护经典客户端

  2. 配置 Office 应用程序和服务

    在 SharePoint 或 Exchange Online 中为 Office 应用程序和服务配置信息权限管理 (IRM) 功能。

    有关详细信息,请参阅为 Azure Rights Management 配置应用程序

  3. 为数据恢复配置超级用户功能

    如果现有 IT 服务(例如数据泄漏防护 (DLP) 解决方案、内容加密网关 (CEG) 和反恶意软件产品)需要检查 Azure 信息保护将保护的文件,请将服务帐户配置为 Azure Rights Management 的超级用户。

    有关详细信息,请参阅为 Azure 信息保护和发现服务或数据恢复配置超级用户

  4. 批量保护现有文件

    可以使用 PowerShell cmdlet 批量保护或批量取消保护多种文件类型。

    有关详细信息,请参阅管理员指南中的将 PowerShell 与 Azure 信息保护客户端配合使用

    对于基于 Windows 的文件服务器上的文件,可以将这些 cmdlet 与脚本和 Windows Server 文件分类基础结构一起使用。 有关详细信息,请参阅使用 Windows Server 文件分类基础结构 (FCI) 进行 RMS 保护

  5. 部署适用于本地服务器的连接器

    如果你拥有想要与保护服务共同使用的本地服务,请安装和配置 Rights Management 连接器。

    有关详细信息,请参阅部署 Azure Rights Management 连接器

使用和监视数据保护解决方案

现在,你可以保护数据并记录公司如何使用保护服务了。

有关详情,请参阅:

根据需要管理租户帐户的保护服务

开始使用保护服务时,可以利用 PowerShell 帮助编写脚本或自动执行管理更改。 某些高级配置可能还需要使用 PowerShell。

有关详细信息,请参阅使用 PowerShell 管理 Azure 信息保护中的保护服务

后续步骤

部署 Azure 信息保护时,你会发现可以通过常见问题解答以及信息和支持页面来查找更多资源。