Description du service Azure Information Protection Premium pour le gouvernement

  • Article

Remarque

Pour fournir une expérience utilisateur unifiée et rationalisée, le client classique Azure Information Protection et la gestion des étiquettes dans le portail Azure sont dépréciés pour les clients GCC, GCC-H et DoD depuis le 31 septembre 2021.

Le client classique sera officiellement retiré et cessera de fonctionner le 31 mars 2022.

Tous les utilisateurs actuels du client classique Azure Information Protection doivent migrer vers la plateforme d'étiquetage unifiée Microsoft Purview Information Protection et passer au client d'étiquetage unifié. Pour en savoir plus, consultez notre blog sur la migration.

Comment utiliser cette description de service

L'étiquetage unifié Azure Information Protection est disponible pour les clients GCC, GCC High et DoD.

La description du service Azure Information Protection Premium Government est conçue pour offrir une vue d’ensemble de notre offre dans les environnements GCC High et DoD, et informe sur les différences de fonctionnalités par rapport aux offres commerciales Azure Information Protection Premium.

Azure Information Protection Premium Government et les services tiers

Certains services Azure Information Protection Premium offrent la possibilité de travailler en toute transparence avec des applications et des services tiers.

Ces applications et services tiers peuvent impliquer le stockage, l’émission et le traitement du contenu client de votre organisation dans des systèmes tiers qui sont en dehors de l’infrastructure de Azure Information Protection Premium, et par conséquent ne sont pas couverts par nos engagements de respect et de protection des données.

Veillez à consulter les déclarations de confidentialité et de conformité fournies par les tiers lors de l’évaluation de l’utilisation appropriée de ces services pour votre organisation.

Parité avec les offres commerciales Azure Information Protection Premium

Pour plus d’informations sur les différences connues existantes entre Azure Information Protection Premium GCC High/DoD et l’offre commerciale, consultez la disponibilité des fonctionnalités cloud pour les clients US Government pour Azure Information Protection.

Configuration d’Azure Information Protection pour les clients GCC High et DoD

Les détails de configuration suivants sont pertinents pour toutes les solutions Azure Information Protection pour les clients GCC High et DoD, y compris les solutions d’étiquetage unifiées.

Important

À compter de la mise à jour de juillet 2020, tous les nouveaux clients GCC High de la solution d’étiquetage unifiée Azure Information Protection peuvent utiliser uniquement les fonctionnalités du menu Général et du menu Scanneur.

Activer Rights Management pour le locataire

Pour que le chiffrement fonctionne correctement, le service Rights Management doit être activé pour le locataire.

  • Vérifiez si le service Rights Management est activé
    • Lancez PowerShell en tant qu’administrateur
    • Exécutez Install-Module aadrm si le module AADRM n’est pas installé
    • Connectez-vous au service à l’aide de Connect-aadrmservice -environmentname azureusgovernment
    • Exécutez (Get-AadrmConfiguration).FunctionalState et vérifiez si l’état est Enabled
  • Si l’état fonctionnel est Disabled, exécutez Enable-Aadrm

Configuration DNS pour le chiffrement (Windows)

Pour que le chiffrement fonctionne correctement, les applications clientes Office doivent se connecter à l’instance GCC, GCC High/DoD du service et démarrer à partir de là. Pour rediriger les applications clientes vers l’instance de service appropriée, l’administrateur du locataire doit configurer un enregistrement SRV DNS avec des informations sur l’URL Azure RMS. Sans l’enregistrement SRV DNS, l’application cliente tentera en vain de se connecter à l’instance de cloud public par défaut.

En outre, l’hypothèse est que les utilisateurs se connectent avec le nom d’utilisateur basé sur le domaine appartenant au locataire (par exemple : joe@contoso.us) et non le nom d’utilisateur onmicrosoft (par exemple : joe@contoso.onmicrosoft.us). Le nom de domaine issu du nom d’utilisateur est utilisé pour la redirection DNS vers l’instance de service appropriée.

  • Obtenir l’ID du service Rights Management
    • Lancez PowerShell en tant qu’administrateur
    • Si le module AADRM n’est pas installé, exécutez Install-Module aadrm
    • Connectez-vous au service à l’aide de Connect-aadrmservice -environmentname azureusgovernment
    • Exécutez (Get-aadrmconfiguration).RightsManagementServiceId pour obtenir l’ID du service Rights Management
  • Connectez-vous à votre fournisseur DNS et accédez aux paramètres DNS du domaine pour ajouter un nouvel enregistrement SRV
    • Service = _rmsredir
    • Protocole = _http
    • Nom = _tcp
    • Cible = [GUID].rms.aadrm.us (où GUID est l’ID du service Rights Management)
    • Port = 80
    • Priorité, Poids, Secondes, TTL = valeurs par défaut
  • Associez le domaine personnalisé au locataire dans le portail Azure. L’association du domaine personnalisé ajoute une entrée dans DNS, ce qui peut prendre quelques minutes pour vérifier après l’ajout de la valeur.
  • Connectez-vous au Centre d’administration Office avec les informations d’identification d’administrateur général correspondantes et ajoutez le domaine (exemple : contoso.us) pour la création de l’utilisateur. Au cours du processus de vérification, d’autres modifications DNS peuvent être requises. Une fois la vérification effectuée, des utilisateurs peuvent être créés.

Configuration DNS pour le chiffrement (Mac, iOS, Android)

  • Connectez-vous à votre fournisseur DNS et accédez aux paramètres DNS du domaine pour ajouter un nouvel enregistrement SRV
    • Service = _rmsdisco
    • Protocole = _http
    • Nom = _tcp
    • Cible = api.aadrm.us
    • Port = 80
    • Priorité, Poids, Secondes, TTL = valeurs par défaut

Migration d’étiquettes

Les clients GCC High et DoD doivent migrer toutes les étiquettes existantes à l’aide de PowerShell. Les méthodes de migration AIP traditionnelles ne s’appliquent pas aux clients GCC High et DoD.

Utilisez la cmdlet New-Label pour migrer vos étiquettes de confidentialité existantes. Veillez à suivre les instructions de connexion et d’exécution de l’applet de commande à l’aide du Centre de sécurité et de conformité avant de commencer votre migration.

Exemple de migration lorsqu’une étiquette de confidentialité existante a un chiffrement :

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Configuration des applications AIP

Lorsque vous utilisez le client Azure Information Protection, vous devez configurer l’une des clés de registre suivantes pour pointer vos applications AIP sur Windows vers le cloud souverain approprié. Assurez-vous d’utiliser les valeurs correctes pour votre configuration.

Configuration des applications AIP pour le client d’étiquetage unifié

Pertinent pour : le client d’étiquetage unifié AIP uniquement

Nœud de registre HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nom CloudEnvType
Valeur 0 = Commercial (par défaut)
1 = GCC
2 = GCC High
3 = DoD
Type REG_DWORD

Remarque

  • Si cette clé de registre est vide, incorrecte ou manquante, le comportement revient à sa valeur par défaut (0 = Commercial).
  • Si la clé est vide ou incorrecte, une erreur d’impression est également ajoutée au journal.
  • Veillez à ne pas supprimer la clé de registre après la désinstallation.

Configuration des applications AIP pour le client classique

Pertinent pour : le client classique AIP uniquement

Nœud de registre HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nom WebServiceUrl
Valeur https://api.informationprotection.azure.us
Type REG_SZ (String)

Pare-feux et infrastructure réseau

Si vous disposez d’un pare-feu ou d’appareils réseau actifs similaires configurés pour autoriser des connexions spécifiques, utilisez les paramètres suivants afin de garantir une communication fluide pour Azure Information Protection.

  • Connexion client à service TLS : ne terminez pas la connexion client à service TLS à l’URL rms.aadrm.us (par exemple, pour effectuer une inspection au niveau du paquet).

    Vous pouvez utiliser les commandes PowerShell suivantes pour vous aider à déterminer si votre connexion cliente est arrêtée avant d’atteindre le service Azure Rights Management :

    $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    Le résultat doit indiquer que l’autorité de certification émettrice provient d’une autorité de certification Microsoft, par exemple : CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Si vous voyez un nom d’autorité de certification émettrice qui ne provient pas de Microsoft, il est probable que votre connexion client à service sécurisée soit arrêtée et nécessite d'être reconfigurée sur votre pare-feu.

  • Téléchargement d’étiquettes et de stratégies d’étiquettes (client classique AIP uniquement) : pour permettre au client classique Azure Information Protection de télécharger des étiquettes et des stratégies d’étiquettes, autorisez l’URL api.informationprotection.azure.us sur HTTPS.

Pour plus d’informations, consultez l’article suivant :

Étiquettes de service

Veillez à autoriser l’accès à tous les ports pour les Étiquettes de service suivantes :

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend