Description du service Azure Information Protection Premium GovernmentAzure Information Protection Premium Government Service Description

Comment utiliser cette description de serviceHow to use this Service Description

Azure Information Protection l’étiquetage unifiée est disponible pour les clients GCC, GCC High et DoD.Azure Information Protection unified labeling is available for GCC, GCC High, and DoD customers.

La description du service Azure Information Protection Premium Government est conçue pour servir de vue d’ensemble de notre offre dans les environnements GCC High et DoD, et couvrira les variations de fonctionnalités par rapport aux offres commerciales Azure Information Protection Premium.The Azure Information Protection Premium Government Service Description is designed to serve as an overview of our offering in the GCC High and DoD environments, and will cover feature variations compared to Azure Information Protection Premium commercial offerings.

Pour en savoir plus sur les Azure Information Protection pour les clients GCC et GCC High Customers, consultez la description des offres EMS pour l’interopérabilité des États-Unis et des Microsoft 365.To learn more about Azure Information Protection for GCC and GCC High customers, see the description of EMS offers for US Government and Microsoft 365 interoperability.

Azure Information Protection Premium Government et services tiersAzure Information Protection Premium Government and Third-Party Services

Certains services Azure Information Protection Premium offrent la possibilité de fonctionner en toute transparence avec des applications et des services tiers.Some Azure Information Protection Premium services provide the ability to work seamlessly with third-party applications and services.

Ces services et applications tiers peuvent impliquer le stockage, la transmission et le traitement du contenu des clients de votre organisation sur des systèmes tiers qui se trouvent en dehors de l’infrastructure Azure Information Protection Premium et qui ne sont donc pas couverts par nos engagements en matière de conformité et de protection des données.These third-party applications and services may involve storing, transmitting, and processing your organization's customer content on third-party systems that are outside of the Azure Information Protection Premium infrastructure, and therefore not covered by our compliance and data protection commitments.

Veillez à consulter les déclarations de confidentialité et de conformité fournies par les tiers lors de l’évaluation de l’utilisation appropriée de ces services pour votre organisation.Make sure you review the privacy and compliance statements provided by the third parties when assessing the appropriate use of these services for your organization.

Parité avec les offres commerciales d’Azure Information Protection PremiumParity with Azure Information Protection Premium Commercial Offerings

Nous nous contenterons de fournir toutes les fonctionnalités et fonctionnalités commerciales aux clients du département de la haute et de la DoD GCC Azure Information Protection Premium, et tenez compte de la liste suivante de fonctionnalités manquantes.We aim to deliver all commercial features and functionality to government Azure Information Protection Premium GCC High and DoD customers, be aware of the following list of missing functionality.

Les lacunes existantes entre Azure Information Protection Premium GCC High/DoD et l’offre commerciale, à compter du 2020 juillet sont les suivantes :Known existing gaps between Azure Information Protection Premium GCC High/DoD and the commercial offering, as of July 2020 are:

  • Le suivi et la révocation des documents ne sont pas disponibles actuellement.Document tracking and revocation are currently not available.

  • Le complément classification et étiquetage est pris en charge uniquement pour les applications Microsoft 365 (version 9126,1001 ou ultérieure).The classification and labeling add-in is only supported for Microsoft 365 Apps (version 9126.1001 or higher). Office 2010, Office 2013 et les autres versions d’Office 2016 ne sont pas pris en charge.Office 2010, Office 2013, and other Office 2016 versions are not supported.

  • Information Rights Management (IRM) est pris en charge uniquement pour les applications Microsoft 365 (version 9126,1001 ou ultérieure).Information Rights Management (IRM) is supported only for Microsoft 365 Apps (version 9126.1001 or higher). Office 2010, Office 2013 et les autres versions d’Office 2016 ne sont pas pris en charge.Office 2010, Office 2013, and other Office 2016 versions are not supported.

  • Le partage des documents et des e-mails protégés pour les utilisateurs dans le Cloud commercial n’est pas disponible actuellement.Sharing of protected documents and emails to users in the commercial cloud is not currently available. Comprend les utilisateurs de Microsoft 365 Apps dans le Cloud commercial, les applications non Microsoft 365s dans le Cloud commercial et les utilisateurs disposant d’une licence RMS for Individuals.Includes Microsoft 365 Apps users in the commercial cloud, non-Microsoft 365 Apps users in the commercial cloud, and users with an RMS for Individuals license.

  • Information Rights Management avec SharePoint Online (bibliothèques et sites protégés par IRM) n’est pas disponible pour l’instant.Information Rights Management with SharePoint Online (IRM-protected sites and libraries) is currently not available.

  • Le connecteur Rights Management n’est pas disponible pour l’instant.The Rights Management Connector is currently not available.

  • L’extension d’appareils mobiles pour AD RMS n’est pas disponible pour l’instant.The Mobile Device Extension for AD RMS is currently not available.

Configuration d’Azure Information Protection solution d’étiquetage unifiée pour les clients GCC High et DoDConfiguring Azure Information Protection unified labeling solution for GCC High and DoD customers

Important

À compter de la mise à jour de juillet 2020, tous les nouveaux clients GCC High de la solution Azure information protection d’étiquetage unifiée, peuvent utiliser les fonctionnalités de menu général et scanner uniquement.As of the July 2020 update, all new GCC High customers of the Azure Information Protection unified labeling solution, can make use of both General menu and Scanner menu features only.

Les informations de configuration fournies dans cette section s’appliquent uniquement à la solution d’étiquetage unifiée Azure Information Protection pour les clients GCC High et DoD.The configuration details provided in this section are relevant only for the Azure Information Protection unified labeling solution for GCC High and DoD customers. Pour tous les autres détails de configuration, consultez les informations de configuration standard pour les clients GCC High et DoD.For all other configuration details, see standard configuration information for GCC High and DoD customers.

Configuration des applications AIP (étiquetage unifié uniquement)AIP apps configuration (unified labeling only)

Pour la solution d’étiquetage unifiée, les applications AIP sur Windows ont besoin d’une clé de Registre spéciale pour les faire pointer vers le cloud Souverain approprié.For the unified labeling solution, AIP apps on Windows need a special registry key to point them to the correct sovereign cloud. Veillez à utiliser les valeurs correctes pour votre installation.Make sure to use the correct values for your setup.

Nœud du registreRegistry Node HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
NomName CloudEnvTypeCloudEnvType
ValeurValue 0/1/2/30/1/2/3
TypeType REG_DWORDREG_DWORD
ValeursValues detailsdetails
CommercialeCommercial 0 (par défaut)0 (default)
GCCGCC 11
GCC HighGCC High 22
DoDDoD 33
  • La valeur par défaut de la clé de Registre est 0 (zéro).Default value of the registry key is 0 (zero).
  • Si la clé est vide ou incorrecte, le comportement attendu est une erreur d’impression dans le journal et se comporte comme la valeur par défaut (0-commercial).If the key is empty or incorrect, the expected behavior is a print error into the log, and it will behave like the default (0-commercial).
  • Si la clé n’existe pas, elle se comporte comme valeur par défaut (0-commercial).If the key doesn’t exist, it will behave as default (0-commercial).
  • Veillez à ne pas supprimer la clé de registre après une désinstallation.Make sure not to delete the registry key after an uninstall.

Configuration d’Azure Information Protection pour les clients GCC High et DoDConfiguring Azure Information Protection for GCC High and DoD customers

Les informations de configuration suivantes s’appliquent à toutes les solutions Azure Information Protection pour les clients GCC High et DoD, y compris les solutions d’étiquetage unifiées.The following configuration details are relevant for all Azure Information Protection solutions for GCC High and DoD customers, including unified labeling solutions.

Activer Rights Management pour le locataireEnable Rights Management for the tenant

Pour que le chiffrement fonctionne correctement, le service Rights Management Services doit être activé pour le locataire.For the encryption to work correctly, the Rights Management Service must be enabled for the tenant.

  • Vérifiez si le service Rights Management Services est activéCheck if the Rights Management service is enabled
    • Lancez PowerShell en tant qu’administrateurLaunch PowerShell as an Administrator
    • Exécutez Install-Module aadrm si le module AADRM n’est pas installéRun Install-Module aadrm if the AADRM module is not installed
    • Connectez-vous au service avec Connect-aadrmservice -environmentname azureusgovernmentConnect to service using Connect-aadrmservice -environmentname azureusgovernment
    • Exécutez (Get-AadrmConfiguration).FunctionalState et vérifiez si l’état est EnabledRun (Get-AadrmConfiguration).FunctionalState and check if the state is Enabled
  • Si l’état fonctionnel est Disabled, exécutez Enable-AadrmIf the functional state is Disabled, run Enable-Aadrm

Configuration DNS pour le chiffrement (Windows)DNS configuration for encryption (Windows)

Pour que le chiffrement fonctionne correctement, les applications clientes Office doivent se connecter à l’instance GCC High/DoD du service et aux données d’amorçage à partir de là.For encryption to work correctly, Office client applications must connect to the GCC, GCC High/DoD instance of the service and bootstrap from there. Pour rediriger les applications clientes vers l’instance de service appropriée, l’administrateur de locataire doit configurer un enregistrement DNS SRV avec les informations relatives à l’URL de Azure RMS.To redirect client applications to the right service instance, the tenant admin must configure a DNS SRV record with information about the Azure RMS URL. Sans l’enregistrement DNS SRV, l’application cliente tente de se connecter à l’instance de cloud public par défaut et échoue.Without the DNS SRV record, the client application will attempt connect to the public cloud instance by default, and fail.

En outre, l’hypothèse est que les utilisateurs se connectent avec le nom d’utilisateur en fonction du domaine appartenant au locataire (par exemple : joe@contoso.us ), et non du nom d’utilisateur onmicrosoft (par exemple : joe@contoso.onmicrosoft.us ).Also, the assumption is that users will log in with the username based off the tenant-owned-domain (for example: joe@contoso.us), and not the onmicrosoft username (for example: joe@contoso.onmicrosoft.us). Le nom de domaine à partir du nom d’utilisateur est utilisé pour la redirection DNS vers l’instance de service appropriée.The domain name from the username is used for DNS redirection to the right service instance.

  • Obtenir l’ID du service Rights ManagementGet the Rights Management Service ID
    • Lancez PowerShell en tant qu’administrateurLaunch PowerShell as an Administrator
    • Si le module AADRM n’est pas installé, exécutez Install-Module aadrmIf the AADRM module is not installed, run Install-Module aadrm
    • Connectez-vous au service avec Connect-aadrmservice -environmentname azureusgovernmentConnect to service using Connect-aadrmservice -environmentname azureusgovernment
    • Exécutez (Get-aadrmconfiguration).RightsManagementServiceId pour obtenir l’ID du service Rights ManagementRun (Get-aadrmconfiguration).RightsManagementServiceId to get the Rights Management Service ID
  • Connectez-vous à votre fournisseur DNS et accédez aux paramètres DNS du domaine pour ajouter un nouvel enregistrement SRVSign in to your DNS provider, and navigate to the DNS settings for the domain to add a new SRV record
    • Service = _rmsredirService = _rmsredir
    • Protocole = _httpProtocol = _http
    • Nom = _tcpName = _tcp
    • Cible = [GUID].rms.aadrm.us (où GUID est l’ID du service Rights Management)Target = [GUID].rms.aadrm.us (where GUID is the Rights Management Service ID)
    • Port = 80Port = 80
    • Priorité, Pondération, Secondes, TTL = valeurs par défautPriority, Weight, Seconds, TTL = default values
  • Associez le domaine personnalisé au locataire dans le portail Azure.Associate the custom domain with the tenant in the Azure portal. L’Association du domaine personnalisé ajoute une entrée dans DNS, ce qui peut prendre quelques minutes à vérifier après l’ajout de la valeur.Associating the custom domain will add an entry in DNS, which may take a few minutes to verify after adding the value.
  • Connectez-vous au centre d’administration Office avec les informations d’identification d’administrateur général correspondantes et ajoutez le domaine (exemple : contoso.us) pour la création de l’utilisateur.Sign in to the Office Admin Center with the corresponding global admin credentials and add the domain (example: contoso.us) for user creation. Dans le processus de vérification, d’autres modifications DNS peuvent être nécessaires.In the verification process, some more DNS changes might be required. Une fois que la vérification est effectuée, les utilisateurs peuvent être créés.Once verification is done, users can be created.

Configuration DNS pour le chiffrement (Mac, iOS, Android)DNS configuration for encryption (Mac, iOS, Android)

  • Connectez-vous à votre fournisseur DNS et accédez aux paramètres DNS du domaine pour ajouter un nouvel enregistrement SRVSign in to your DNS provider, and navigate to the DNS settings for the domain to add a new SRV record
    • Service = _rmsdiscoService = _rmsdisco
    • Protocole = _httpProtocol = _http
    • Nom = _tcpName = _tcp
    • Cible = api.aadrm.usTarget = api.aadrm.us
    • Port = 80Port = 80
    • Priorité, Pondération, Secondes, TTL = valeurs par défautPriority, Weight, Seconds, TTL = default values

Migration des étiquettesLabel migration

Les clients GCC High et DoD doivent migrer toutes les étiquettes existantes à l’aide de PowerShell.GCC High and DoD customers need to migrate all existing labels using PowerShell. Les méthodes de migration AIP traditionnelles ne s’appliquent pas aux clients GCC High et DoD.Traditional AIP migration methods are not applicable for GCC High and DoD customers.

Utilisez l’applet de commande New-label pour migrer vos étiquettes de sensibilité existantes.Use the New-Label cmdlet to migrate your existing sensitivity labels. Veillez à suivre les instructions relatives à la connexion et à l’exécution de l’applet de commande à l’aide de Security & Compliance Center avant de commencer votre migration.Make sure to follow the instructions for connecting and running the cmdlet using Security & Compliance Center before getting started with your migration.

Exemple de migration lorsqu’une étiquette de sensibilité existante possède un chiffrement :Migration example when an existing sensitivity label has encryption:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Configuration des applications AIPAIP apps configuration

Les applications AIP sur Windows ont besoin d’une clé de Registre spéciale pour les diriger vers l’instance de service appropriée pour GCC High/DoD.The AIP apps on Windows need a special registry key to point them to the right service instance for GCC High/DoD.

Nœud du registreRegistry Node HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
NomName WebServiceURLWebServiceUrl
ValeurValue https://api.informationprotection.azure.us
TypeType REG_SZ (String)REG_SZ (String)

Pare-feu et infrastructure réseauFirewalls and network infrastructure

Si vous disposez d’un pare-feu ou de périphériques réseau intervenant similaires qui sont configurés pour autoriser des connexions spécifiques, utilisez ces paramètres pour garantir une communication sans heurts pour Azure Information Protection.If you have a firewall or similar intervening network devices that are configured to allow specific connections, use these settings to ensure smooth communication for Azure Information Protection.

  • Pour permettre au client Azure Information Protection Classic de télécharger des étiquettes et des stratégies d’étiquette : autorisez l’URL API.informationprotection.Azure.us sur HTTPS.To enable the Azure Information Protection Classic client to download labels and label policies: Allow the URL api.informationprotection.azure.us over HTTPS.

  • Ne mettez pas fin à la connexion entre le client et le service TLS et l’URL RMS.aadrm.us (par exemple, pour effectuer une inspection au niveau du paquet).Do not terminate the TLS client-to-service connection to the rms.aadrm.us URL (for example, to perform packet-level inspection).

Vous pouvez utiliser les commandes PowerShell suivantes pour vous aider à déterminer si votre connexion cliente est interrompue avant d’atteindre le service Azure Rights Management :You can use the following PowerShell commands to help you determine whether your client connection is terminated before it reaches the Azure Rights Management service:

$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

Le résultat doit indiquer que l’autorité de certification émettrice provient d’une autorité de certification Microsoft, par exemple : CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.The result should show that the issuing CA is from a Microsoft CA, for example: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Si vous voyez un nom d’autorité de certification émettrice qui ne provient pas de Microsoft, il est probable que votre connexion sécurisée client-à-service est arrêtée et doit être reconfigurée sur votre pare-feu.If you see an issuing CA name that is not from Microsoft, it is likely that your secure client-to-service connection is being terminated and needs to be reconfigured on your firewall.

Étiquettes de serviceService Tags

Veillez à autoriser l’accès à tous les ports pour les balises de service suivantes :Make sure to allow access to all ports for the following Service Tags :

  • AzureInformationProtectionAzureInformationProtection
  • AzureActiveDirectoryAzureActiveDirectory
  • AzureFrontDoor.FrontendAzureFrontDoor.Frontend