Microsoft Purview Information Protection für Office 365, betrieben von 21Vianet

Artikel
05/11/2024

Dieser Artikel behandelt die Unterschiede zwischen der Microsoft Purview Information Protection-Unterstützung für Office 365, betrieben von 21Vianet und kommerziellen Angeboten, die auf das Angebot von zuvor als Azure Information Protection (AIP) bezeichnet wurden, sowie spezifische Konfigurationsanweisungen für Kunden in China, einschließlich der Installation des Informationsschutzscanners und des Verwaltens von Inhaltsscanaufträgen.

Unterschiede zwischen 21Vianet und kommerziellen Angeboten

Unser Ziel ist es, alle kommerziellen Features und Funktionen für Kunden in China mit unserem Microsoft Purview Information Protection-Support für Office 365 bereitzustellen, das von 21Vianet betrieben wird, aber es gibt einige fehlende Funktionen:

Die Ad RMS-Verschlüsselung (Active Directory Rights Management Services) wird nur in Microsoft 365 Apps for Enterprise (Build 11731.10000 oder höher) unterstützt. Office Professional Plus unterstützt AD RMS nicht.
Die Migration von AD RMS zu AIP ist derzeit nicht verfügbar.
Die Freigabe geschützter E-Mails mit Benutzern in der kommerziellen Cloud wird unterstützt.
Die Freigabe von Dokumenten und E-Mail-Anlagen für Benutzer in der kommerziellen Cloud ist derzeit nicht verfügbar. Dies umfasst Office 365, betrieben von 21Vianet-Benutzern in der kommerziellen Cloud, nicht von Office 365 betrieben von 21Vianet-Benutzern in der kommerziellen Cloud und Benutzern mit einer RMS for Individuals-Lizenz.
Informationen Rights Management mit SharePoint Online (IRM-geschützte Websites und Bibliotheken) sind derzeit nicht verfügbar.
Die Mobilgeräteerweiterung für AD RMS ist derzeit nicht für Regierungskunden verfügbar.
Der Mobile Viewer wird von Azure China 21Vianet nicht unterstützt.
Der Scannerbereich des Complianceportals steht Kunden in China nicht zur Verfügung. Verwenden Sie PowerShell-Befehle , anstatt Aktionen im Portal auszuführen, z. B. das Verwalten und Ausführen von Inhaltsscanaufträgen.
Netzwerkendpunkte für den Microsoft Purview Information Protection-Client innerhalb der 21Vianet-Umgebung unterscheiden sich von den Endpunkten, die für andere Clouddienste erforderlich sind. Netzwerkkonnektivität von Clients mit den folgenden Endpunkten ist erforderlich:
- Herunterladen von Bezeichnungs- und Bezeichnungsrichtlinien: *.protection.partner.outlook.cn
- Azure Rights Management Service: *.aadrm.cn
Dokumentkontrolle und Widerruf durch Benutzer ist derzeit nicht verfügbar.

Konfiguration für Kunden in 21Vianet

So konfigurieren Sie den Microsoft Purview Information Protection-Support für Office 365, betrieben von 21Vianet:

Aktivieren Sie die Rechteverwaltung für den Mandanten.
Fügen Sie den Dienstprinzipal des Microsoft Information Protection-Synchronisierungsdiensts hinzu.
Konfigurieren sie die DNS-Verschlüsselung.
Installieren und konfigurieren Sie den Microsoft Purview Information Protection-Client.
Konfigurieren Sie Windows-Einstellungen.
Installieren Sie den Informationsschutzscanner, und verwalten Sie Inhaltsscanaufträge.

Schritt 1: Aktivieren der Rechteverwaltung für den Mandanten

Damit die Verschlüsselung ordnungsgemäß funktioniert, muss der Rechteverwaltungsdienst (Rights Management Service, RMS) für den Mandanten aktiviert sein.

Überprüfen, ob NFS aktiviert ist
1. Starten Sie PowerShell als Administrator.
2. Wenn das AIPService-Modul nicht installiert ist, führen Sie den Befehl aus Install-Module AipService.
3. Importieren des Moduls Import-Module AipService.
4. Verwenden Sie Connect-AipService -environmentname azurechinacloud, um eine Verbindung mit dem Dienst herzustellen.
5. Führen Sie den Status aus, und überprüfen Sie (Get-AipServiceConfiguration).FunctionalState , ob der Zustand ist Enabled.
Wenn der Funktionszustand lautet Disabled, führen Sie den Befehl Enable-AipServiceaus.

Schritt 2: Hinzufügen des Microsoft Information Protection-Synchronisierungsdienstprinzipals

Der Microsoft Information Protection-Synchronisierungsdienstprinzipal ist standardmäßig nicht in Azure China-Mandanten verfügbar und ist für Azure Information Protection erforderlich. Erstellen Sie diesen Dienstprinzipal manuell über das Azure Az PowerShell-Modul.

Wenn Sie das Azure Az-Modul nicht installiert haben, installieren Sie es, oder verwenden Sie eine Ressource, in der das Azure Az-Modul vorinstalliert ist, z . B. Azure Cloud Shell. Weitere Informationen finden Sie unter Installieren des Azure Az PowerShell-Moduls.
Verbinden mit dem Cmdlet Verbinden-AzAccount und dem azurechinacloud Umgebungsnamen an den Dienst:
```
Connect-azaccount -environmentname azurechinacloud
```
Erstellen Sie den Microsoft Information Protection-Synchronisierungsdienst mithilfe des Cmdlets New-AzADServicePrincipal und der 870c4f2e-85b6-4d43-bdda-6ed9a579b725 Anwendungs-ID für den Microsoft Purview Information Protection-Synchronisierungsdienst manuell:
```
New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
```
Fügen Sie nach dem Hinzufügen des Dienstprinzipals die für den Dienst erforderlichen relevanten Berechtigungen hinzu.

Schritt 3: Konfigurieren der DNS-Verschlüsselung

Damit die Verschlüsselung ordnungsgemäß funktioniert, müssen Office-Clientanwendungen von dort aus eine Verbindung mit der China-Instanz des Diensts und bootstrap herstellen. Um Clientanwendungen an die richtige Dienstinstanz umzuleiten, muss der Mandantenadministrator einen DNS SRV-Eintrag mit Informationen zur Azure RMS-URL konfigurieren. Ohne den DNS SRV-Eintrag versucht die Clientanwendung standardmäßig, eine Verbindung mit der öffentlichen Cloudinstanz herzustellen und schlägt fehl.

Außerdem wird davon ausgegangen, dass sich Benutzer mit einem Benutzernamen anmelden, der auf der Mandantenbesitz basiert Standard (zjoe@contoso.cn. B. ) und nicht mit dem onmschina Benutzernamen (zjoe@contoso.onmschina.cn. B. ). Der Name do Standard aus dem Benutzernamen wird für die DNS-Umleitung zur richtigen Dienstinstanz verwendet.

Konfigurieren der DNS-Verschlüsselung – Windows

Abrufen der RMS-ID:
1. Starten Sie PowerShell als Administrator.
2. Wenn das AIPService-Modul nicht installiert ist, führen Sie den Befehl aus Install-Module AipService.
3. Verwenden Sie Connect-AipService -environmentname azurechinacloud, um eine Verbindung mit dem Dienst herzustellen.
4. Führen Sie die Ausführung (Get-AipServiceConfiguration).RightsManagementServiceId aus, um die RMS-ID abzurufen.
Melden Sie sich bei Ihrem DNS-Anbieter an, navigieren Sie zu den DNS-Einstellungen für die Do Standard und fügen Sie dann einen neuen SRV-Eintrag hinzu.
- Service = _rmsredir
- Protokoll = _http
- Name = _tcp
- Target = [GUID].rms.aadrm.cn (wobei GUID die RMS-ID ist)
- Priorität, Gewichtung, Sekunden, TTL = Standardwerte
Ordnen Sie die benutzerdefinierte Do Standard dem Mandanten im Azure-Portal zu. Dadurch wird ein Eintrag in DNS hinzugefügt, der mehrere Minuten dauern kann, bis der Wert den DNS-Einstellungen hinzugefügt wurde.
Melden Sie sich beim Microsoft 365 Admin Center mit den entsprechenden globalen Administratoranmeldeinformationen an, und fügen Sie die Do Standard (z. Bcontoso.cn. ) für die Benutzererstellung hinzu. Im Überprüfungsprozess sind möglicherweise zusätzliche DNS-Änderungen erforderlich. Sobald die Überprüfung abgeschlossen ist, können Benutzer erstellt werden.

Konfigurieren der DNS-Verschlüsselung – Mac, iOS, Android

Melden Sie sich bei Ihrem DNS-Anbieter an, navigieren Sie zu den DNS-Einstellungen für die Do Standard und fügen Sie dann einen neuen SRV-Eintrag hinzu.

Service = _rmsdisco
Protokoll = _http
Name = _tcp
Ziel = api.aadrm.cn
Port = 80
Priorität, Gewichtung, Sekunden, TTL = Standardwerte

Schritt 4: Installieren und Konfigurieren des Bezeichnungsclients

Laden Sie den Microsoft Purview Information Protection-Client aus dem Microsoft Download Center herunter, und installieren Sie diesen.

Weitere Informationen finden Sie unter:

Schritt 5: Konfigurieren von Windows-Einstellungen

Windows benötigt den folgenden Registrierungsschlüssel für die Authentifizierung, um auf die richtige souveräne Cloud für Azure China zu verweisen:

Registrierungsknoten = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Name = CloudEnvType
Wert = 6 (Standardwert = 0)
Typ = REG_DWORD

Wichtig

Stellen Sie sicher, dass Sie den Registrierungsschlüssel nach einer Deinstallation nicht löschen. Wenn der Schlüssel leer, falsch oder nicht vorhanden ist, verhält sich die Funktionalität als Standardwert (Standardwert = 0 für die kommerzielle Cloud). Wenn der Schlüssel leer oder falsch ist, wird dem Protokoll auch ein Druckfehler hinzugefügt.

Schritt 6: Installieren des Informationsschutzscanners und Verwalten von Inhaltsscanaufträgen

Der Scanner ermöglicht AIP-Administrator*innen das Scannen ihrer Netzwerke und Inhaltsfreigaben auf vertrauliche Daten sowie das Anwenden von Klassifizierungs- und Schutzbezeichnungen gemäß der Richtlinie ihrer Organisation.

Verwenden Sie beim Konfigurieren und Verwalten Ihrer Inhaltsscanaufträge das folgende Verfahren anstelle der Microsoft Purview-Complianceportal, die von den kommerziellen Angeboten verwendet wird.

Weitere Informationen finden Sie unter Informationen zum Informationsschutzscanner und zum Verwalten Ihrer Inhaltsscanaufträge nur mithilfe von PowerShell.

Zur Konfiguration und Installation des Scanners:

Melden Sie sich beim Windows Server-Computer an, auf dem der Scanner ausgeführt wird. Verwenden Sie ein Konto mit lokalen Administratorrechten und mit Berechtigungen zum Schreiben in die SQL Server-Datenbank.
Beginnen Sie mit geschlossener PowerShell. Wenn Sie den Informationsschutzscanner bereits installiert haben, stellen Sie sicher, dass der Microsoft Purview Information Protection Scanner-Dienst beendet ist.
Starten Sie eine Windows PowerShell-Sitzung mit der Option Als Administrator ausführen.
Führen Sie das Cmdlet Install-Scanner aus, und geben Sie Die SQL Server-Instanz an, auf der eine Datenbank für den Microsoft Purview Information Protection-Scanner erstellt werden soll, und einen aussagekräftigen Namen für Ihren Scannercluster.
```
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
```
Tipp

Sie können denselben Clusternamen im Befehl "Install-Scanner " verwenden, um demselben Cluster mehrere Scannerknoten zuzuordnen. Wenn Sie denselben Cluster für mehrere Scannerknoten verwenden, können mehrere Scanner zusammenarbeiten, um Ihre Scans durchzuführen.
Überprüfen Sie, ob der Dienst jetzt installiert ist, indem Sie Verwaltungstools>Dienste verwenden.

Der installierte Dienst heißt Microsoft Purview Information Protection Scanner und ist so konfiguriert, dass er mithilfe des von Ihnen erstellten Scannerdienstkontos ausgeführt wird.
Holen Sie sich ein Azure-Token, das Sie mit Ihrem Scanner verwenden können. Ein Microsoft Entra ID-Token ermöglicht es dem Scanner, sich beim Azure Information Protection-Dienst zu authentifizieren, so dass der Scanner nicht interaktiv ausgeführt werden kann.
1. Erstellen Sie im Azure-Portal eine Azure AD-Anwendung, um ein Zugriffstoken für die Authentifizierung anzugeben. Weitere Informationen finden Sie unter Unbeaufsichtigtes Bezeichnen von Dateien für Azure Information Protection.
  
  Tipp
  
  Beim Erstellen und Konfigurieren von Microsoft Entra-Anwendungen für den Befehl "Set-Authentication" zeigt der Berechtigungsbereich "Api anfordern" die Registerkarte "APIs, die meine Organisation verwendet" anstelle der Registerkarte "Microsoft-APIs" an. Wählen Sie die APIs aus, die meine Organisation zum Auswählen von Azure Rights Management Services verwendet.
2. Melden Sie sich auf dem Windows Server-Computer mit diesem Konto an und starten Sie eine PowerShell-Sitzung, wenn Ihrem Scannerdienstkonto das Recht Lokal anmelden für die Installation erteilt wurde.
  
  Wenn Ihrem Scannerdienstkonto nicht das lokale Anmelden für die Installation gewährt werden kann, verwenden Sie den Parameter "OnBehalfOf " mit "Set-Authentication", wie unter "So wird's gemacht: Bezeichnen von Dateien, die nicht interaktiv für Azure Information Protection sind" beschrieben.
3. Führen Sie "Set-Authentication" aus, und geben Sie Werte an, die aus Ihrer Microsoft Entra-Anwendung kopiert wurden:
```
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
```
Zum Beispiel:
```
$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
```
Das für die Authentifizierung bei Microsoft Entra ID verwendete Zugriffstoken. Dieses Token ist für ein Jahr, zwei Jahre oder nie gültig, je nach Ihrer Konfiguration des Web-App /API geheimer Clientschlüssel in Microsoft Entra ID. Sie müssen dieses Verfahren wiederholen, wenn das Token abläuft.
Führen Sie das Cmdlet Set-ScannerConfiguration aus, um den Scanner im Offlinemodus zu aktivieren. Führen Sie Folgendes aus:
```
Set-ScannerConfiguration -OnlineConfiguration Off
```
Führen Sie das Cmdlet Set-ScannerContentScanJob aus, um einen Standardmäßigen Inhaltsscanauftrag zu erstellen.

Der einzige erforderliche Parameter im Cmdlet Set-ScannerContentScanJob ist Erzwingen. Möglicherweise möchten Sie zu diesem Zeitpunkt jedoch noch andere Einstellungen für Ihren Content-Scan-Auftrag festlegen. Zum Beispiel:
```
Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
```
Mit der obigen Syntax werden die folgenden Einstellungen konfiguriert, während Sie die Konfiguration fortsetzen:
- Behält die Scannerlaufplanung auf manuell
- Legt die Informationstypen fest, die auf der Grundlage der Vertraulichkeitsbezeichnungsrichtlinie ermittelt werden sollen
- Setzt nicht eine Vertraulichkeitsbezeichnungsrichtlinie durch
- Automatische Bezeichnung von Dateien auf der Grundlage des Inhalts unter Verwendung der für die Vertraulichkeitsbezeichnungsrichtlinie definierten Standardkennzeichnung
- Erlaubt nicht die Umbenennung von Dateien
- Behält die Dateidetails beim Scannen und der automatischen Bezeichnung bei, einschließlich der Werte geändertes Datum, zuletzt geändert und geändert von
- Legt fest, dass der Scanner .msg- und .tmp-Dateien ausschließt, wenn er ausgeführt wird
- Setzt den Standard-Besitzer auf das Konto, das Sie bei der Ausführung des Scanners verwenden möchten
Verwenden Sie das Cmdlet "Add-ScannerRepository ", um die Repositorys zu definieren, die Sie in Ihrem Inhaltsscanauftrag überprüfen möchten. Führen Sie zum Beispiel aus:
```
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
```
Verwenden Sie eine der folgenden Syntaxen, je nachdem, welche Art von Repository Sie hinzufügen:
- Für eine Netzwerkfreigabe verwenden Sie \\Server\Folder.
- Verwenden Sie http://sharepoint.contoso.com/Shared%20Documents/Folder für eine SharePoint-Bibliothek
- Für einen lokalen Pfad: C:\Folder
- Für einen UNC-Pfad: \\Server\Folder
Hinweis

Wild Karte s werden nicht unterstützt, und WebDav-Speicherorte werden nicht unterstützt.

Um das Repository später zu ändern, verwenden Sie stattdessen das Cmdlet Set-ScannerRepository .

Fahren Sie je nach Bedarf mit den folgenden Schritten fort:

In der folgenden Tabelle sind PowerShell-Cmdlets aufgeführt, die für die Installation des Scanners und die Verwaltung Ihrer Inhaltsscanaufträge relevant sind:

Cmdlet	Beschreibung
Add-ScannerRepository	So fügen Sie Ihrem Inhaltsscanauftrag gefährdete Repositorys hinzu
Get-ScannerConfiguration	Gibt Details zu Ihrem Cluster zurück.
Get-ScannerContentScan	Ruft Details zu Ihrem Inhaltsscanauftrag ab.
Get-ScannerRepository	Ruft Details zu Repositorys ab, die für Ihren Inhaltsscanauftrag definiert sind.
Remove-ScannerContentScan	Löscht Ihren Inhaltsscanauftrag.
Remove-ScannerRepository	Entfernt ein Repository aus Ihrem Inhaltsscanauftrag.
Set-ScannerContentScan	Definiert Einstellungen für Ihren Inhaltsscanauftrag.
Set-ScannerRepository	Definiert Einstellungen für ein vorhandenes Repository in Ihrem Inhaltsscanauftrag.