Supporto di Azure Information Protection per Office 365 gestito da 21Vianet

Questo articolo illustra le differenze tra il supporto di Azure Information Protection (AIP) per Office 365 gestito da 21Vianet e le offerte commerciali, nonché istruzioni specifiche per la configurazione di AIP per i clienti in Cina, tra cui come installare lo scanner di protezione delle informazioni e gestire i processi di analisi del contenuto.

Differenze tra AIP per Office 365 gestito da 21Vianet e offerte commerciali

Anche se l'obiettivo è offrire tutte le funzionalità e le funzionalità commerciali ai clienti in Cina con l'offerta AIP per Office 365 gestita da 21Vianet, c'è qualche funzionalità mancante da evidenziare.

Di seguito è riportato un elenco di lacune tra AIP per Office 365 gestito da 21Vianet e le offerte commerciali:

• La crittografia active Directory Rights Management Services (AD RMS) è supportata solo in Microsoft 365 Apps for enterprise (build 11731.10000 o versione successiva). Office Professional Plus non supporta AD RMS.

• La migrazione da AD RMS a AIP non è attualmente disponibile.

• La condivisione di messaggi di posta elettronica protetti con gli utenti nel cloud commerciale è supportata.

• La condivisione di documenti e allegati di posta elettronica con gli utenti nel cloud commerciale non è attualmente disponibile. Ciò include Office 365 gestito da 21Vianet utenti nel cloud commerciale, non Office 365 gestito da 21Vianet utenti nel cloud commerciale e utenti con una licenza RMS for Individuals.

• IRM con SharePoint (siti e raccolte protetti da IRM) non è attualmente disponibile.

• L'estensione per dispositivi mobili per AD RMS non è attualmente disponibile.

• Il Visualizzatore per dispositivi mobili non è supportato da Azure Cina 21Vianet.

• L'area scanner del portale di conformità non è disponibile per i clienti in Cina. Usare i comandi di PowerShell invece di eseguire azioni nel portale, ad esempio la gestione e l'esecuzione dei processi di analisi del contenuto.

• Gli endpoint AIP in Office 365 gestiti da 21Vianet sono diversi dagli endpoint necessari per altri servizi cloud. È necessaria la connettività di rete dai client agli endpoint seguenti:

  • Scaricare i criteri di etichetta e etichetta: *.protection.partner.outlook.cn
  • Servizio Azure Rights Management: *.aadrm.cn

• rilevamento dei documenti e revoca da parte degli utenti non è attualmente disponibile.

Configurare AIP per i clienti in Cina

Per configurare AIP per i clienti in Cina:

1. Abilitare Rights Management per il tenant.

2. Aggiungere l'entità servizio di sincronizzazione Microsoft Information Protection.

3. Configurare la crittografia DNS.

4. Installare e configurare il client di etichettatura unificata AIP.

5. Configurare le app AIP in Windows.

6. Installare lo scanner di protezione delle informazioni e gestire i processi di analisi del contenuto.

Passaggio 1: Abilitare Rights Management per il tenant

Per il corretto funzionamento della crittografia, è necessario abilitare RMS per il tenant.

1. Controllare se RMS è abilitato:

   1. Avviare PowerShell come amministratore.
   2. Se il modulo AIPService non è installato, eseguire Install-Module AipService.
   3. Importare il modulo usando Import-Module AipService.
   4. Connessione al servizio tramite Connect-AipService -environmentname azurechinacloud.
   5. Eseguire (Get-AipServiceConfiguration).FunctionalState e controllare se lo stato è Enabled.

2. Se lo stato funzionale è Disabled, eseguire Enable-AipService.

Passaggio 2: Aggiungere l'entità servizio di sincronizzazione Microsoft Information Protection

L'entità servizio di sincronizzazione Di Microsoft Information Protection non è disponibile nei tenant di Azure Cina per impostazione predefinita ed è necessaria per Azure Information Protection. Creare manualmente questa entità servizio tramite il modulo Azure Az PowerShell.

1. Se il modulo Az di Azure non è installato, installarlo o usare una risorsa in cui viene preinstallato il modulo Az di Azure, ad esempio Azure Cloud Shell. Per altre informazioni, vedere Installare il modulo Azure Az PowerShell.

2. Connessione al servizio usando il cmdlet Connessione-AzAccount e il nome dell'ambienteazurechinacloud:

   Connect-azaccount -environmentname azurechinacloud
   

3. Creare manualmente l'entità servizio di sincronizzazione Microsoft Information Protection usando il cmdlet New-AzADServicePrincipal e l'ID 870c4f2e-85b6-4d43-bdda-6ed9a579b725 applicazione per il servizio di sincronizzazione microsoft Purview Information Protection:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. Dopo aver aggiunto l'entità servizio, aggiungere le autorizzazioni pertinenti necessarie al servizio.

Passaggio 3: Configurare la crittografia DNS

Per il corretto funzionamento della crittografia, le applicazioni client di Office devono connettersi all'istanza cinese del servizio e bootstrap da questa posizione. Per reindirizzare le applicazioni client all'istanza del servizio corretta, l'amministratore tenant deve configurare un record SRV DNS con informazioni sull'URL di Azure RMS. Senza il record SRV DNS, l'applicazione client tenterà di connettersi all'istanza del cloud pubblico per impostazione predefinita e avrà esito negativo.

Si supponga inoltre che gli utenti esemplino l'accesso con un nome utente basato sul dominio di proprietà del tenant (ad esempio, joe@contoso.cn) e non con il onmschina nome utente (ad esempio, joe@contoso.onmschina.cn). Il nome di dominio del nome utente viene usato per il reindirizzamento DNS all'istanza del servizio corretta.

Configurare la crittografia DNS - Windows

1. Ottenere l'ID RMS:

   1. Avviare PowerShell come amministratore.
   2. Se il modulo AIPService non è installato, eseguire Install-Module AipService.
   3. Connessione al servizio tramite Connect-AipService -environmentname azurechinacloud.
   4. Eseguire (Get-AipServiceConfiguration).RightsManagementServiceId per ottenere l'ID RMS.

2. Accedere al provider DNS, passare alle impostazioni DNS per il dominio e quindi aggiungere un nuovo record SRV.

   • Service = _rmsredir
   • Protocollo = _http
   • Name = _tcp
   • Target = [GUID].rms.aadrm.cn (dove GUID è l'ID RMS)
   • Priority, Weight, Seconds, TTL = default values

3. Associare il dominio personalizzato al tenant nel portale di Azure. Verrà aggiunta una voce in DNS, che potrebbe richiedere alcuni minuti per verificarsi dopo aver aggiunto il valore alle impostazioni DNS.

4. Accedere al interfaccia di amministrazione di Microsoft 365 con le credenziali di amministratore globale corrispondenti e aggiungere il dominio (ad esempio, contoso.cn) per la creazione dell'utente. Nel processo di verifica potrebbero essere necessarie modifiche DNS aggiuntive. Al termine della verifica, gli utenti possono essere creati.

Configurare la crittografia DNS - Mac, iOS, Android

Accedere al provider DNS, passare alle impostazioni DNS per il dominio e quindi aggiungere un nuovo record SRV.

• Service = _rmsdisco
• Protocollo = _http
• Name = _tcp
• Target = api.aadrm.cn
• Porta = 80
• Priority, Weight, Seconds, TTL = default values

Passaggio 4: Installare e configurare il client di etichettatura unificata AIP

Scaricare e installare il client di etichettatura unificata AIP dall'Area download Microsoft.

Per altre informazioni, vedi:

• Documentazione di AIP
• Cronologia delle versioni di AIP e criteri di supporto
• Requisiti di sistema di AIP
• Avvio rapido di AIP: Distribuire il client AIP
• Guida dell'amministratore di AIP
• Guida per l'utente di AIP
• Informazioni sulle etichette di riservatezza

Passaggio 5: Configurare le app AIP in Windows

Le app AIP in Windows necessitano della chiave del Registro di sistema seguente per indirizzarli al cloud sovrano corretto per Azure Cina:

• Nodo del Registro di sistema = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Name = CloudEnvType
• Valore = (valore predefinito = 6 0)
• Tipo = REG_DWORD

Importante

Assicurarsi di non eliminare la chiave del Registro di sistema dopo una disinstallazione. Se la chiave è vuota, errata o inesistente, la funzionalità si comporta come valore predefinito (valore predefinito = 0 per il cloud commerciale). Se la chiave è vuota o non corretta, viene aggiunto anche un errore di stampa al log.

Passaggio 6: Installare lo scanner di protezione delle informazioni e gestire i processi di analisi del contenuto

Installare lo scanner di Microsoft Purview Information Protection per analizzare le condivisioni di rete e contenuto per i dati sensibili e applicare etichette di classificazione e protezione come configurato nei criteri dell'organizzazione.

Quando si configurano e si gestiscono i processi di analisi del contenuto, usare la procedura seguente anziché la Portale di conformità di Microsoft Purview usata dalle offerte commerciali.

Per altre informazioni, vedere Informazioni sullo scanner di protezione delle informazioni e Gestire i processi di analisi del contenuto solo con PowerShell.

Per installare e configurare lo scanner:

1. Accedere al computer Windows Server che eseguirà lo scanner. Usare un account con diritti di amministratore locale e che disponga delle autorizzazioni per la scrittura nel database master di SQL Server.

2. Iniziare con PowerShell chiuso. Se il client e lo scanner AIP sono stati installati in precedenza, assicurarsi che il servizio AIPScanner sia arrestato.

3. Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore .

4. Eseguire il cmdlet Install-AIPScanner , specificando l'istanza di SQL Server in cui creare un database per lo scanner di Azure Information Protection e un nome significativo per il cluster dello scanner.

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Suggerimento

   È possibile usare lo stesso nome del cluster nel comando Install-AIPScanner per associare più nodi dello scanner allo stesso cluster. L'uso dello stesso cluster per più nodi dello scanner consente a più scanner di lavorare insieme per eseguire le analisi.

5. Verificare che il servizio sia installato usando Amministrazione istrative Tools>Services.

   Il servizio installato è denominato Scanner di Azure Information Protection ed è configurato per l'esecuzione usando l'account del servizio scanner creato.

6. Ottenere un token di Azure da usare con lo scanner. Un token Microsoft Entra consente allo scanner di eseguire l'autenticazione nel servizio Azure Information Protection, consentendo l'esecuzione non interattiva dello scanner.

   1. Aprire il portale di Azure e creare un'applicazione Microsoft Entra per specificare un token di accesso per l'autenticazione. Per altre informazioni, vedere Come etichettare i file in modo non interattivo per Azure Information Protection.

      Suggerimento

      Quando si creano e si configurano applicazioni Microsoft Entra per il comando Set-AIPAuthentication, il riquadro Richiedi autorizzazioni API mostra la scheda API usate dall'organizzazione anziché la scheda API Microsoft. Selezionare le API usate dall'organizzazione per selezionare Azure Rights Management Services.

   2. Dal computer Windows Server, se all'account del servizio scanner è stato concesso il diritto di accesso locale per l'installazione, accedere con questo account e avviare una sessione di PowerShell.

      Se all'account del servizio scanner non è possibile concedere il diritto di accesso locale per l'installazione, usare il parametro OnBehalfOf con Set-AIPAuthentication, come descritto in Come etichettare i file in modo non interattivo per Azure Information Protection.

   3. Eseguire Set-AIPAuthentication, specificando i valori copiati dall'applicazione Microsoft Entra:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Ad esempio:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Lo scanner ha ora un token per l'autenticazione a Microsoft Entra ID. Questo token è valido per un anno, due anni o mai, in base alla configurazione del segreto client dell'app Web /API in Microsoft Entra ID. Quando il token scade, è necessario ripetere questa procedura.

7. Eseguire il cmdlet Set-AIPScannerConfiguration per impostare lo scanner per funzionare in modalità offline. Eseguire:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Eseguire il cmdlet Set-AIPScannerContentScanJob per creare un processo di analisi del contenuto predefinito.

   L'unico parametro obbligatorio nel cmdlet Set-AIPScannerContentScanJob è Enforce. Tuttavia, è possibile definire altre impostazioni per il processo di analisi del contenuto in questo momento. Ad esempio:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   La sintassi precedente configura le impostazioni seguenti mentre si continua la configurazione:

   • Mantiene manuale la pianificazione dell'esecuzione dello scanner
   • Imposta i tipi di informazioni da individuare in base ai criteri di etichettatura di riservatezza
   • Non applica criteri di etichettatura di riservatezza
   • Etichetta automaticamente i file in base al contenuto, usando l'etichetta predefinita definita per i criteri di etichettatura di riservatezza
   • Non consente la rilabazione dei file
   • Mantiene i dettagli del file durante l'analisi e l'etichettatura automatica, inclusa la data di modifica, l'ultima modifica e la modifica dei valori
   • Imposta lo scanner per escludere .msg e .tmp file durante l'esecuzione
   • Imposta il proprietario predefinito sull'account da usare durante l'esecuzione dello scanner

9. Usare il cmdlet Add-AIPScannerRepository per definire i repository da analizzare nel processo di analisi del contenuto. Ad esempio, eseguire:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Usare una delle sintassi seguenti, a seconda del tipo di repository che si sta aggiungendo:

   • Per una condivisione di rete, usare \\Server\Folder.
   • Per una raccolta di SharePoint, usare http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Per un percorso locale: C:\Folder
   • Per un percorso UNC: \\Server\Folder

   Nota

   I caratteri jolly non sono supportati e i percorsi WebDav non sono supportati.

   Per modificare il repository in un secondo momento, usare invece il cmdlet Set-AIPScannerRepository .

Continuare con i passaggi seguenti in base alle esigenze:

• Eseguire un ciclo di individuazione e visualizzare i report per lo scanner
• Usare PowerShell per configurare lo scanner per applicare la classificazione e la protezione
• Usare PowerShell per configurare un criterio DLP con lo scanner

La tabella seguente elenca i cmdlet di PowerShell rilevanti per l'installazione dello scanner e la gestione dei processi di analisi del contenuto:

Cmdlet	Descrizione
Add-AIPScannerRepository	Aggiunge un nuovo repository al processo di analisi del contenuto.
Get-AIPScannerConfiguration	Restituisce informazioni dettagliate sul cluster.
Get-AIPScannerContentScanJob	Ottiene informazioni dettagliate sul processo di analisi del contenuto.
Get-AIPScannerRepository	Ottiene i dettagli sui repository definiti per il processo di analisi del contenuto.
Remove-AIPScannerContentScanJob	Elimina il processo di analisi del contenuto.
Remove-AIPScannerRepository	Rimuove un repository dal processo di analisi del contenuto.
Set-AIPScannerContentScanJob	Definisce le impostazioni per il processo di analisi del contenuto.
Set-AIPScannerRepository	Definisce le impostazioni per un repository esistente nel processo di analisi del contenuto.

Per altre informazioni, vedi:

• Informazioni sullo scanner di protezione delle informazioni
• Configurazione e installazione dello scanner di protezione delle informazioni
• Gestire i processi di analisi del contenuto solo con PowerShell