Podpora služby Azure Information Protection pro Office 365 provozovaný společností 21Vianet

Tento článek popisuje rozdíly mezi podporou služby Azure Information Protection (AIP) pro Office 365 provozovaný společností 21Vianet a komerčními nabídkami a také konkrétními pokyny pro konfiguraci AIP pro zákazníky v Číně – včetně toho, jak nainstalovat skener ochrany informací a spravovat úlohy kontroly obsahu.

Rozdíly mezi AIP pro Office 365 provozovanými společností 21Vianet a komerčními nabídkami

Naším cílem je doručovat všechny komerční funkce a funkce zákazníkům v Číně s naším AIP pro Office 365 provozovaným nabídkou 21Vianet, ale některé funkce, které bychom chtěli zdůraznit, chybí.

Následuje seznam mezer mezi AIP pro Office 365 provozovaný společností 21Vianet a našimi komerčními nabídkami:

• šifrování služba AD RMS (Active Directory Rights Management Services) (AD RMS) se podporuje jenom v Microsoft 365 Apps pro velké organizace (build 11731.10000 nebo novější). Office pro profesionály Plus nepodporuje službu AD RMS.

• Migrace ze služby AD RMS na AIP není momentálně dostupná.

• Podporuje se sdílení chráněných e-mailů s uživateli v komerčním cloudu.

• Sdílení dokumentů a e-mailových příloh s uživateli v komerčním cloudu v současné době není k dispozici. To zahrnuje Office 365 provozovaný uživateli 21Vianet v komerčním cloudu, mimo Office 365 provozovaných uživateli 21Vianet v komerčním cloudu a uživatele s licencí RMS for Individuals.

• IRM se sharepointovými weby a knihovnami chráněnými technologií IRM momentálně není k dispozici.

• Rozšíření pro mobilní zařízení pro SLUŽBU AD RMS není v současné době k dispozici.

• Azure China 21Vianet nepodporuje Mobile Viewer.

• Oblast skeneru portálu dodržování předpisů není pro zákazníky v Číně dostupná. Místo provádění akcí na portálu používejte příkazy PowerShellu, jako je správa a spouštění úloh prohledávání obsahu.

• Koncové body AIP v Office 365 provozované společností 21Vianet se liší od koncových bodů požadovaných pro jiné cloudové služby. Vyžaduje se síťové připojení z klientů k následujícím koncovým bodům:

  • Stažení zásad popisku a popisků: *.protection.partner.outlook.cn
  • Služba Azure Rights Management: *.aadrm.cn

• Sledování dokumentů a odvolání odvolaných uživatelů momentálně nejsou k dispozici.

Konfigurace AIP pro zákazníky v Číně

Konfigurace AIP pro zákazníky v Číně:

1. Povolte službu Rights Management pro tenanta.

2. Přidejte instanční objekt služby synchronizace Microsoft Information Protection.

3. Nakonfigurujte šifrování DNS.

4. Nainstalujte a nakonfigurujte klienta sjednoceného popisování AIP.

5. Konfigurace aplikací AIP ve Windows

6. Nainstalujte skener ochrany informací a spravujte úlohy kontroly obsahu.

Krok 1: Povolení služby Rights Management pro tenanta

Aby šifrování fungovalo správně, musí být pro tenanta povolená služba RMS.

1. Zkontrolujte, jestli je služba RMS povolená:

   1. Spusťte PowerShell jako správce.
   2. Pokud není nainstalovaný modul AIPService, spusťte Install-Module AipServicepříkaz .
   3. Importujte modul pomocí Import-Module AipService.
   4. Připojení do služby pomocí Connect-AipService -environmentname azurechinacloud.
   5. Spusťte (Get-AipServiceConfiguration).FunctionalState a zkontrolujte, jestli je Enabledstav .

2. Pokud je Disabledfunkční stav , spusťte Enable-AipService.

Krok 2: Přidání instančního objektu služby Microsoft Information Protection Sync

Instanční objekt služby Synchronizace služby Microsoft Information Protection není ve výchozím nastavení k dispozici v tenantech Azure China a vyžaduje se pro Službu Azure Information Protection. Tento instanční objekt vytvořte ručně pomocí modulu Azure Az PowerShell.

1. Pokud nemáte nainstalovaný modul Azure Az, nainstalujte ho nebo použijte prostředek, ve kterém je předinstalovaný modul Azure Az, například Azure Cloud Shell. Další informace najdete v tématu Instalace modulu Azure Az PowerShell.

2. Připojení do služby pomocí rutiny Připojení-AzAccount a azurechinacloud názvu prostředí:

   Connect-azaccount -environmentname azurechinacloud
   

3. Pomocí rutiny New-AzADServicePrincipal a 870c4f2e-85b6-4d43-bdda-6ed9a579b725 ID aplikace pro synchronizační službu Microsoft Purview Information Protection vytvořte instanční objekt služby Synchronizace služby Microsoft Information Protection ručně:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. Po přidání instančního objektu přidejte příslušná oprávnění požadovaná ke službě.

Krok 3: Konfigurace šifrování DNS

Aby šifrování fungovalo správně, musí se klientské aplikace Office připojit k instanci služby v Číně a odtud spustit. Aby bylo možné přesměrovat klientské aplikace na správnou instanci služby, musí správce tenanta nakonfigurovat záznam SRV DNS s informacemi o adrese URL služby Azure RMS. Bez záznamu DNS SRV se klientská aplikace pokusí ve výchozím nastavení připojit k instanci veřejného cloudu a selže.

Předpokládá se také, že se uživatelé budou přihlašovat pomocí uživatelského jména založeného na doméně vlastněné tenantem (například joe@contoso.cn) a ne onmschina pomocí uživatelského jména (například joe@contoso.onmschina.cn). Název domény z uživatelského jména se používá pro přesměrování DNS na správnou instanci služby.

Konfigurace šifrování DNS – Windows

1. Získejte ID SLUŽBY RMS:

   1. Spusťte PowerShell jako správce.
   2. Pokud není nainstalovaný modul AIPService, spusťte Install-Module AipServicepříkaz .
   3. Připojení do služby pomocí Connect-AipService -environmentname azurechinacloud.
   4. Spuštěním (Get-AipServiceConfiguration).RightsManagementServiceId získáte ID SLUŽBY RMS.

2. Přihlaste se ke svému poskytovateli DNS, přejděte do nastavení DNS pro doménu a přidejte nový záznam SRV.

   • Služba = _rmsredir
   • Protokol = _http
   • Name = _tcp
   • Target = [GUID].rms.aadrm.cn (kde GUID je ID SLUŽBY RMS)
   • Priorita, váha, sekundy, hodnota TTL = výchozí hodnoty

3. Přidružte vlastní doménu k tenantovi na webu Azure Portal. Tím se přidá položka v DNS, která může trvat několik minut, než se ověří po přidání hodnoty do nastavení DNS.

4. Přihlaste se k Centrum pro správu Microsoftu 365 s odpovídajícími přihlašovacími údaji globálního správce a přidejte doménu (napříkladcontoso.cn) pro vytvoření uživatele. V procesu ověření se můžou vyžadovat další změny DNS. Po ověření je možné uživatele vytvořit.

Konfigurace šifrování DNS – Mac, iOS, Android

Přihlaste se ke svému poskytovateli DNS, přejděte do nastavení DNS pro doménu a přidejte nový záznam SRV.

• Služba = _rmsdisco
• Protokol = _http
• Name = _tcp
• Target = api.aadrm.cn
• Port = 80
• Priorita, váha, sekundy, hodnota TTL = výchozí hodnoty

Krok 4: Instalace a konfigurace klienta sjednoceného popisování AIP

Stáhněte a nainstalujte klienta sjednoceného popisování AIP z webu Microsoft Download Center.

Další informace naleznete v tématu:

• Dokumentace k AIP
• Historie verzí AIP a zásady podpory
• Požadavky na systém AIP
• Rychlý start AIP: Nasazení klienta AIP
• Příručka pro správce AIP
• Uživatelská příručka AIP
• Informace o popiscích citlivosti

Krok 5: Konfigurace aplikací AIP ve Windows

Aplikace AIP ve Windows potřebují následující klíč registru, aby je odkazovaly na správný suverénní cloud pro Azure China:

• Uzel registru = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Name = CloudEnvType
• Hodnota = 6 (výchozí = 0)
• Typ = REG_DWORD

Důležité

Ujistěte se, že po odinstalaci neodstraníte klíč registru. Pokud je klíč prázdný, nesprávný nebo neexistující, funkce se budou chovat jako výchozí hodnota (výchozí hodnota = 0 pro komerční cloud). Pokud je klíč prázdný nebo nesprávný, přidá se do protokolu také chyba tisku.

Krok 6: Instalace skeneru ochrany informací a správa úloh kontroly obsahu

Nainstalujte skener Microsoft Purview Information Protection, který prohledává citlivá data v síti a sdílených složkách obsahu, a použijte klasifikace a popisky ochrany nakonfigurované v zásadách vaší organizace.

Při konfiguraci a správě úloh prohledávání obsahu použijte místo Portál dodržování předpisů Microsoft Purview, které komerční nabídky používají, následující postup.

Další informace najdete v tématu Informace o skeneru ochrany informací a správě úloh kontroly obsahu pouze pomocí PowerShellu.

Instalace a konfigurace skeneru:

1. Přihlaste se k počítači s Windows Serverem, na který se spustí skener. Použijte účet, který má oprávnění místního správce a který má oprávnění k zápisu do hlavní databáze SQL Serveru.

2. Začněte zavřeným PowerShellem. Pokud jste dříve nainstalovali klienta a skener AIP, ujistěte se, že je služba AIPScanner zastavená.

3. Otevřete relaci Prostředí Windows PowerShell s možností Spustit jako správce .

4. Spusťte rutinu Install-AIPScanner , zadejte instanci SQL Serveru, ve které chcete vytvořit databázi pro skener Azure Information Protection, a smysluplný název clusteru skeneru.

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Tip

   Stejný název clusteru můžete použít v příkazu Install-AIPScanner k přidružení více uzlů skeneru ke stejnému clusteru. Použití stejného clusteru pro více uzlů skeneru umožňuje, aby několik skenerů spolupracovalo na provádění kontrol.

5. Pomocí služby Správa istrative Tools>Services ověřte, že je služba nainstalovaná.

   Nainstalovaná služba má název Azure Information Protection Scanner a je nakonfigurovaná tak, aby běžela pomocí účtu služby skeneru, který jste vytvořili.

6. Získejte token Azure pro použití se skenerem. Token Microsoft Entra umožňuje skeneru ověřit se ve službě Azure Information Protection, která skeneru umožňuje neinteraktivně spouštět.

   1. Otevřete web Azure Portal a vytvořte aplikaci Microsoft Entra, která určí přístupový token pro ověřování. Další informace najdete v tématu Popisování souborů neinteraktivně pro Azure Information Protection.

      Tip

      Při vytváření a konfiguraci aplikací Microsoft Entra pro příkaz Set-AIPAuthentication se v podokně Oprávnění rozhraní API požadavku zobrazí rozhraní API, která moje organizace používámísto karty Rozhraní API Microsoftu. Vyberte rozhraní API, která moje organizace používá k výběru služby Azure Rights Management Services.

   2. Pokud byl na počítači s Windows Serverem udělen účet služby skeneru místně, přihlaste se pomocí tohoto účtu a spusťte relaci PowerShellu.

      Pokud se vašemu účtu služby skeneru nedá udělit oprávnění k místnímu přihlášení pro instalaci, použijte parametr OnBehalfOf s nastavením AIPAuthentication, jak je popsáno v tématu Popisování souborů neinteraktivně pro Azure Information Protection.

   3. Spusťte Set-AIPAuthentication a zadejte hodnoty zkopírované z vaší aplikace Microsoft Entra:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Příklad:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Skener teď má token pro ověření pro MICROSOFT Entra ID. Tento token je platný po dobu jednoho roku, dvou let nebo nikdy podle vaší konfigurace tajného klíče klienta /API webové aplikace v Microsoft Entra ID. Po vypršení platnosti tokenu je nutné tento postup zopakovat.

7. Spuštěním rutiny Set-AIPScannerConfiguration nastavte skener tak, aby fungoval v offline režimu. Run (Spuštění):

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Spuštěním rutiny Set-AIPScannerContentScanJob vytvořte výchozí úlohu kontroly obsahu.

   Jediný povinný parametr v rutině Set-AIPScannerContentScanJob je Enforce. V tuto chvíli ale můžete chtít definovat další nastavení pro úlohu kontroly obsahu. Příklad:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   Výše uvedená syntaxe konfiguruje následující nastavení, zatímco budete pokračovat v konfiguraci:

   • Udržuje plánování spuštění skeneru do ručního
   • Nastaví typy informací, které se mají zjistit na základě zásad popisků citlivosti.
   • Nevynucuje zásadu popisování citlivosti.
   • Automaticky označí soubory na základě obsahu pomocí výchozího popisku definovaného pro zásady popisování citlivosti.
   • Nepovoluje opětovné označování souborů.
   • Zachovává podrobnosti o souboru při kontrole a automatickém popisování, včetně data změny, poslední změny a změny podle hodnot.
   • Nastaví skener tak, aby při spuštění vyloučil soubory .msg a .tmp.
   • Nastaví výchozího vlastníka na účet, který chcete použít při spuštění skeneru.

9. Pomocí rutiny Add-AIPScannerRepository definujte úložiště, která chcete kontrolovat v úloze kontroly obsahu. Například spusťte:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   V závislosti na typu úložiště, které přidáváte, použijte jednu z následujících syntaxí:

   • Pro sdílenou síťovou složku použijte \\Server\Folder.
   • Pro sharepointovou knihovnu použijte http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Pro místní cestu: C:\Folder
   • Pro cestu UNC: \\Server\Folder

   Poznámka:

   Zástupné cardy nejsou podporovány a umístění WebDav nejsou podporována.

   Pokud chcete úložiště později upravit, použijte místo toho rutinu Set-AIPScannerRepository .

Podle potřeby pokračujte následujícími kroky:

• Spuštění cyklu zjišťování a zobrazení sestav skeneru
• Použití PowerShellu ke konfiguraci skeneru pro použití klasifikace a ochrany
• Konfigurace zásad ochrany před únikem informací pomocí skeneru pomocí PowerShellu

Následující tabulka uvádí rutiny PowerShellu, které jsou relevantní pro instalaci skeneru a správu úloh kontroly obsahu:

Rutina	Popis
Add-AIPScannerRepository	Přidá do úlohy kontroly obsahu nové úložiště.
Get-AIPScannerConfiguration	Vrátí podrobnosti o clusteru.
Get-AIPScannerContentScanJob	Získá podrobnosti o vaší úloze kontroly obsahu.
Get-AIPScannerRepository	Získá podrobnosti o úložištích definovaných pro vaši úlohu kontroly obsahu.
Remove-AIPScannerContentScanJob	Odstraní úlohu kontroly obsahu.
Remove-AIPScannerRepository	Odebere úložiště z úlohy kontroly obsahu.
Set-AIPScannerContentScanJob	Definuje nastavení pro úlohu kontroly obsahu.
Set-AIPScannerRepository	Definuje nastavení pro existující úložiště v úloze kontroly obsahu.

Další informace naleznete v tématu:

• Informace o skeneru ochrany informací
• Konfigurace a instalace skeneru ochrany informací
• Správa úloh prohledávání obsahu jenom pomocí PowerShellu