Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Administratoren den Azure Rights Management-Verschlüsselungsdienst für Microsoft Purview Information Protection aktivieren können. Wenn dieser Verschlüsselungsdienst für Ihre organization aktiviert ist, können Administratoren und Benutzer damit beginnen, wichtige Daten mithilfe von Apps und Diensten zu schützen, die diese Verschlüsselungslösung unterstützen. Administratoren können auch verschlüsselte Elemente verwalten und überwachen, die Ihrem organization gehören.
Die Konfigurationsinformationen in diesem Artikel richten sich an Administratoren, die für einen Dienst verantwortlich sind, der für alle Benutzer in einem organization gilt. Wenn Sie Hilfe und Informationen für Benutzer benötigen, um die Rights Management-Funktionalität für eine bestimmte Anwendung zu verwenden oder eine Datei oder E-Mail zu öffnen, die durch Rechte geschützt ist, verwenden Sie die Hilfe und Anleitungen, die zu Ihrer Anwendung gehören.
Automatische Aktivierung für Azure Rights Management
Wenn Sie über einen Dienstplan verfügen, der Azure Rights Management enthält, müssen Sie den Dienst möglicherweise nicht aktivieren:
Wenn Ihr Abonnement, das Azure Rights Management, Azure Information Protection (früherer Name) oder Microsoft Purview Information Protection gegen Ende Februar 2018 oder höher umfasst, erhalten wurde: Der Dienst wird automatisch für Sie aktiviert. Sie müssen den Dienst nur aktivieren, wenn Sie oder ein anderer Administrator für Ihre organization Azure Rights Management deaktiviert haben.
Wenn Ihr Abonnement, das Azure Rights Management, Azure Information Protection (früherer Name) oder Microsoft Purview Information Protection enthält, vor oder im Februar 2018 abgerufen wurde: Microsoft aktiviert den Azure Rights Management-Dienst für diese Abonnements, wenn Ihr Mandant verwendet. Exchange Online. Für diese Abonnements wird der Dienst für Sie aktiviert, es sei denn, Sie sehen, dass AutomaticServiceUpdateEnabled auf false festgelegt ist, wenn Sie Get-IRMConfiguration ausführen.
Wenn keines der aufgeführten Szenarien auf Sie zutrifft, müssen Sie den Azure Rights Management-Dienst manuell aktivieren.
Aktivieren oder Bestätigen der status des Verschlüsselungsdiensts
Wichtig
Aktivieren Sie Azure Rights Management nicht, wenn Sie Active Directory Rights Management Services (AD RMS) für Ihre organization bereitgestellt haben. Weitere Informationen
Um Azure Rights Management zu aktivieren, muss Ihr organization über einen Serviceplan verfügen, der den Azure Rights Management-Dienst von Microsoft Purview Information Protection enthält. Weitere Informationen finden Sie unter Microsoft 365-Lizenzierungsleitfaden für Sicherheits- & Compliance.
Wenn Azure Rights Management aktiviert ist, können alle Benutzer in Ihrem organization Verschlüsselung auf Elemente wie Dokumente und E-Mails anwenden, und alle Benutzer können Elemente öffnen (nutzen), die von diesem Dienst verschlüsselt wurden. Wenn Sie es vorziehen, können Sie jedoch einschränken, wer diese Verschlüsselung anwenden kann, indem Sie Onboardingsteuerelemente für eine stufenweise Bereitstellung verwenden. Weitere Informationen finden Sie im Abschnitt Konfigurieren von Onboardingsteuerelementen für eine stufenweise Bereitstellung in diesem Artikel.
Aktivieren von Azure Rights Management über PowerShell
Sie müssen PowerShell verwenden, um Azure Rights Management zu aktivieren. Sie können diesen Dienst nicht mehr über Verwaltungsportale aktivieren oder deaktivieren.
Installieren Sie das AIPService-Modul, um den Azure Rights Management-Dienst zu konfigurieren und zu verwalten. Anweisungen finden Sie unter Installieren des AIPService PowerShell-Moduls für den Azure Right Management-Dienst.
Führen Sie in einer PowerShell-Sitzung Connect-AipService aus, und melden Sie sich mit einer Rolle an, die über Berechtigungen zum Aktivieren des Azure Rights Management-Diensts für Ihren Mandanten verfügt. Beispielsweise die Rolle "Complianceadministrator" oder "Compliancedatenadministrator".
Führen Sie Get-AipService aus, um zu überprüfen, ob der Azure Rights Management-Dienst aktiviert ist. Eine status aktiviert bestätigt die Aktivierung. Deaktiviert gibt an, dass der Dienst deaktiviert ist.
Führen Sie Enable-AipService aus, um den Dienst zu aktivieren.
Konfigurieren von Onboardingsteuerelementen für eine stufenweise Bereitstellung
Wenn Sie nicht möchten, dass alle Benutzer Dokumente und E-Mails sofort mithilfe von Azure Rights Management verschlüsseln können, können Sie mithilfe des PowerShell-Befehls Set-AipServiceOnboardingControlPolicy Steuerelemente für das Onboarding von Benutzern konfigurieren. Sie können diesen Befehl ausführen, bevor oder nachdem Sie den Azure Rights Management-Dienst aktiviert haben.
Wenn Sie beispielsweise zunächst möchten, dass nur Administratoren in der Gruppe "IT-Abteilung" (die über die Objekt-ID fbb99ded-32a0-45f1-b038-38b519009503 verfügt) inhalte zu Testzwecken schützen können, verwenden Sie den folgenden Befehl:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"
Für diese Konfigurationsoption müssen Sie eine Gruppe angeben. Sie können keine einzelnen Benutzer angeben. Um die Objekt-ID für die Gruppe abzurufen, können Sie microsoft Graph PowerShell verwenden. Verwenden Sie beispielsweise für Version 1.0 des Moduls den Befehl Get-MgGroup . Alternativ können Sie den Wert der Objekt-ID der Gruppe aus dem Azure-Portal kopieren.
Wenn Sie alternativ sicherstellen möchten, dass nur Benutzer, die ordnungsgemäß für die Verwendung von Azure Rights Management lizenziert sind, Inhalte schützen können:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True
Wenn Sie keine Onboarding-Steuerelemente mehr verwenden müssen, unabhängig davon, ob Sie die Gruppen- oder Lizenzierungsoption verwendet haben, führen Sie Folgendes aus:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
Weitere Informationen zu diesem Cmdlet und weitere Beispiele finden Sie in der Hilfe zu Set-AipServiceOnboardingControlPolicy .
Wenn Sie diese Onboardingsteuerelemente verwenden, können alle Benutzer im organization immer verschlüsselte Inhalte nutzen, die von Ihrer Teilmenge von Benutzern geschützt wurden, aber sie können die Verschlüsselung nicht selbst von Clientanwendungen anwenden. Serverseitige Anwendungen wie Exchange können eigene Benutzersteuerelemente implementieren, um dasselbe Ergebnis zu erzielen. Um beispielsweise zu verhindern, dass Benutzer E-Mails in Outlook im Web schützen, verwenden Sie Set-OwaMailboxPolicy, um den IRMEnabled-Parameter auf $false festzulegen.
Nächste Schritte
Nachdem der Azure Rights Management-Dienst für Ihre organization aktiviert wurde, können Apps und Dienste Verschlüsselung anwenden, um Ihre Daten zu schützen. Die einfachste und empfohlene Methode zum Anwenden von Verschlüsselung ist die Verwendung von Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection. Wenn Sie dazu bereit sind, lesen Sie Erste Schritte mit Vertraulichkeitsbezeichnungen.
Ein einfacher Überprüfungstest für den Azure Rights Management-Dienst besteht darin, eine Vertraulichkeitsbezeichnung anzuwenden, die ein Dokument oder eine E-Mail-Nachricht mit einem Einzigen Benutzerkonto verschlüsselt. Versuchen Sie dann, den verschlüsselten Inhalt eines anderen Benutzerkontos auf einem anderen Computer zu öffnen und zu verwenden.