Microsoft Purview Informatiebeveiliging voor Office 365 beheerd door 21Vianet

In dit artikel worden de verschillen behandeld tussen Microsoft Purview Informatiebeveiliging ondersteuning voor Office 365 beheerd door 21Vianet en commerciële aanbiedingen die beperkt zijn tot het aanbieden van voorheen bekend als Azure Information Protection (AIP), evenals specifieke configuratie-instructies voor klanten in China, waaronder het installeren van de scanner voor gegevensbeveiliging en het beheren van taken voor inhoudsscans.

Verschillen tussen 21Vianet en commerciële aanbiedingen

Hoewel ons doel is om alle commerciële functies en functionaliteit te leveren aan klanten in China met onze Microsoft Purview Informatiebeveiliging ondersteuning voor Office 365 beheerd door 21Vianet-aanbieding, is er een aantal ontbrekende functionaliteit:

• Ad RMS-versleuteling (Active Directory Rights Management Services) wordt alleen ondersteund in Microsoft 365-apps voor ondernemingen (build 11731.10000 of hoger). Office Professional Plus biedt geen ondersteuning voor AD RMS.

• Migratie van AD RMS naar AIP is momenteel niet beschikbaar.

• Het delen van beveiligde e-mailberichten met gebruikers in de commerciële cloud wordt ondersteund.

• Het delen van documenten en e-mailbijlagen met gebruikers in de commerciële cloud is momenteel niet beschikbaar. Dit omvat Office 365 beheerd door 21Vianet-gebruikers in de commerciële cloud, niet-Office 365 beheerd door 21Vianet-gebruikers in de commerciële cloud en gebruikers met een RMS for Individuals-licentie.

• IRM met SharePoint (met IRM beveiligde sites en bibliotheken) is momenteel niet beschikbaar.

• De extensie voor mobiele apparaten voor AD RMS is momenteel niet beschikbaar.

• De Mobile Viewer wordt niet ondersteund door Azure China 21Vianet.

• Het scannergebied van de complianceportal is niet beschikbaar voor klanten in China. Gebruik PowerShell-opdrachten in plaats van acties uit te voeren in de portal, zoals het beheren en uitvoeren van uw inhoudsscantaken.

• Netwerkeindpunten voor de Microsoft Purview Informatiebeveiliging-client in de 21Vianet-omgeving verschillen van de eindpunten die zijn vereist voor andere cloudservices. Netwerkverbinding van clients naar de volgende eindpunten is vereist:

  • Label- en labelbeleid downloaden: *.protection.partner.outlook.cn
  • Azure Rights Management-service: *.aadrm.cn

• Documenttracking en intrekken door gebruikers zijn momenteel niet beschikbaar.

Configuratie voor klanten in 21Vianet

Voor het configureren van Microsoft Purview Informatiebeveiliging ondersteuning voor Office 365 beheerd door 21Vianet:

1. Schakel Rights Management in voor de tenant.

2. Voeg de service-principal van de Microsoft Information Protection Sync-service toe.

3. DNS-versleuteling configureren.

4. Installeer en configureer de Microsoft Purview Informatiebeveiliging-client.

5. Windows-instellingen configureren.

6. Installeer de information protection-scanner en beheer inhoudsscantaken.

Stap 1: Rights Management inschakelen voor de tenant

De rights management-service (RMS) moet zijn ingeschakeld voor de tenant om de versleuteling correct te laten werken.

1. Controleer of RMS is ingeschakeld:

   1. Start PowerShell als beheerder.
   2. Als de AIPService-module niet is geïnstalleerd, voert u de opdracht uit Install-Module AipService.
   3. Importeer de module met behulp van Import-Module AipService.
   4. Verbinding maken naar de service met behulp van Connect-AipService -environmentname azurechinacloud.
   5. Voer uit (Get-AipServiceConfiguration).FunctionalState en controleer of de status is Enabled.

2. Als de functionele status is Disabled, voert u uit Enable-AipService.

Stap 2: de service-principal van de Microsoft Information Protection Sync-service toevoegen

De service-principal van de Microsoft Information Protection Sync-service is standaard niet beschikbaar in Azure China-tenants en is vereist voor Azure Information Protection. Maak deze service-principal handmatig via de Azure Az PowerShell-module.

1. Als u de Azure Az-module niet hebt geïnstalleerd, installeert u deze of gebruikt u een resource waarin de Azure Az-module vooraf is geïnstalleerd, zoals Azure Cloud Shell. Zie De Azure Az PowerShell-module installeren voor meer informatie.

2. Verbinding maken naar de service met behulp van de cmdlet Verbinding maken-AzAccount en de naam van de azurechinacloud omgeving:

   Connect-azaccount -environmentname azurechinacloud
   

3. Maak de service-principal van de Microsoft Information Protection Sync-service handmatig met behulp van de cmdlet New-AzADServicePrincipal en de 870c4f2e-85b6-4d43-bdda-6ed9a579b725 toepassings-id voor de Microsoft Purview Informatiebeveiliging Sync-service:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. Nadat u de service-principal hebt toegevoegd, voegt u de relevante machtigingen toe die nodig zijn voor de service.

Stap 3: DNS-versleuteling configureren

Om versleuteling correct te laten werken, moeten Office-clienttoepassingen verbinding maken met het China-exemplaar van de service en bootstrap vanaf daar. Om clienttoepassingen om te leiden naar het juiste service-exemplaar, moet de tenantbeheerder een DNS SRV-record configureren met informatie over de Azure RMS-URL. Zonder de DNS SRV-record probeert de clienttoepassing standaard verbinding te maken met het openbare cloudexemplaren en mislukt deze.

De veronderstelling is ook dat gebruikers zich aanmelden met een gebruikersnaam die is gebaseerd op het domein dat eigendom is van de tenant (bijvoorbeeld joe@contoso.cn), en niet de onmschina gebruikersnaam (bijvoorbeeld joe@contoso.onmschina.cn). De domeinnaam van de gebruikersnaam wordt gebruikt voor DNS-omleiding naar het juiste service-exemplaar.

DNS-versleuteling configureren - Windows

1. Haal de RMS-id op:

   1. Start PowerShell als beheerder.
   2. Als de AIPService-module niet is geïnstalleerd, voert u de opdracht uit Install-Module AipService.
   3. Verbinding maken naar de service met behulp van Connect-AipService -environmentname azurechinacloud.
   4. Voer deze opdracht uit (Get-AipServiceConfiguration).RightsManagementServiceId om de RMS-id op te halen.

2. Meld u aan bij uw DNS-provider, navigeer naar de DNS-instellingen voor het domein en voeg vervolgens een nieuwe SRV-record toe.

   • Service = _rmsredir
   • Protocol = _http
   • Naam = _tcp
   • Target = [GUID].rms.aadrm.cn (waarbij GUID de RMS-id is)
   • Prioriteit, Gewicht, Seconden, TTL = standaardwaarden

3. Koppel het aangepaste domein aan de tenant in Azure Portal. Hiermee voegt u een vermelding toe in DNS. Dit kan enkele minuten duren om te worden geverifieerd nadat u de waarde aan de DNS-instellingen hebt toegevoegd.

4. Meld u aan bij de Microsoft 365-beheercentrum met de bijbehorende globale beheerdersreferenties en voeg het domein (bijvoorbeeld contoso.cn) toe voor het maken van gebruikers. In het verificatieproces zijn mogelijk aanvullende DNS-wijzigingen vereist. Zodra de verificatie is voltooid, kunnen gebruikers worden gemaakt.

DNS-versleuteling configureren - Mac, iOS, Android

Meld u aan bij uw DNS-provider, navigeer naar de DNS-instellingen voor het domein en voeg vervolgens een nieuwe SRV-record toe.

• Service = _rmsdisco
• Protocol = _http
• Naam = _tcp
• Doel = api.aadrm.cn
• Poort = 80
• Prioriteit, Gewicht, Seconden, TTL = standaardwaarden

Stap 4: De labelclient installeren en configureren

Download en installeer de Microsoft Purview Informatiebeveiliging-client vanuit het Microsoft Downloadcentrum.

Zie voor meer informatie:

• Vertrouwelijkheidslabels uitbreiden in Windows
• Microsoft Purview Informatiebeveiliging client - Releasebeheer en ondersteuning

Stap 5: Windows-instellingen configureren

Windows heeft de volgende registersleutel nodig voor verificatie om te verwijzen naar de juiste onafhankelijke cloud voor Azure China:

• Registerknooppunt = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Naam = CloudEnvType
• Waarde = (standaard = 6 0)
• Type = REG_DWORD

Belangrijk

Zorg ervoor dat u de registersleutel niet verwijdert na een verwijdering. Als de sleutel leeg, onjuist of niet aanwezig is, gedraagt de functionaliteit zich als de standaardwaarde (standaardwaarde = 0 voor de commerciële cloud). Als de sleutel leeg of onjuist is, wordt er ook een afdrukfout aan het logboek toegevoegd.

Stap 6: De scanner voor gegevensbeveiliging installeren en inhoudsscantaken beheren

Installeer de Microsoft Purview Informatiebeveiliging scanner om uw netwerk- en inhoudsshares te scannen op gevoelige gegevens en pas classificatie- en beveiligingslabels toe zoals geconfigureerd in het beleid van uw organisatie.

Wanneer u uw inhoudsscantaken configureert en beheert, gebruikt u de volgende procedure in plaats van de Microsoft Purview-nalevingsportal die wordt gebruikt door de commerciële aanbiedingen.

Zie Meer informatie over de scanner voor gegevensbeveiliging en Uw inhoudsscantaken beheren met powerShell alleen voor meer informatie.

Uw scanner installeren en configureren:

1. Meld u aan bij de Windows Server-computer waarop de scanner wordt uitgevoerd. Gebruik een account met lokale beheerdersrechten en machtigingen om naar de SQL Server-hoofddatabase te schrijven.

2. Begin met PowerShell gesloten. Als u de scanner voor gegevensbeveiliging eerder hebt geïnstalleerd, controleert u of de Microsoft Purview Informatiebeveiliging Scanner-service is gestopt.

3. Open een Windows PowerShell-sessie met de optie Uitvoeren als beheerder .

4. Voer de cmdlet Install-Scanner uit, waarbij u uw SQL Server-exemplaar opgeeft waarop u een database voor de Microsoft Purview Informatiebeveiliging scanner wilt maken en een betekenisvolle naam voor uw scannercluster.

   Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Tip

   U kunt dezelfde clusternaam gebruiken in de opdracht Install-Scanner om meerdere scannerknooppunten aan hetzelfde cluster te koppelen. Als u hetzelfde cluster gebruikt voor meerdere scannerknooppunten, kunnen meerdere scanners samenwerken om uw scans uit te voeren.

5. Controleer of de service nu is geïnstalleerd met behulp van Beheer istrative Tools>Services.

   De geïnstalleerde service heet Microsoft Purview Informatiebeveiliging Scanner en is geconfigureerd voor uitvoering met behulp van het scannerserviceaccount dat u hebt gemaakt.

6. Haal een Azure-token op dat u met uw scanner wilt gebruiken. Met een Microsoft Entra-token kan de scanner worden geverifieerd bij de Azure Information Protection-service, zodat de scanner niet-interactief kan worden uitgevoerd.

   1. Open Azure Portal en maak een Microsoft Entra-toepassing om een toegangstoken voor verificatie op te geven. Zie Bestanden niet interactief labelen voor Azure Information Protection voor meer informatie.

      Tip

      Wanneer u Microsoft Entra-toepassingen maakt en configureert voor de opdracht Set-Authentication, worden in het deelvenster API-machtigingen aanvragen het tabblad API's weergegeven die mijn organisatie gebruikt in plaats van het tabblad Microsoft API's. Selecteer de API's die mijn organisatie gebruikt om vervolgens Azure Rights Management Services te selecteren.

   2. Meld u vanaf de Windows Server-computer aan als uw scannerserviceaccount lokaal is aangemeld voor de installatie, meldt u zich aan met dit account en start u een PowerShell-sessie.

      Als het account van de scannerservice niet lokaal kan worden verleend voor de installatie, gebruikt u de parameter OnBehalfOf met Set-Authentication, zoals wordt beschreven in Het labelen van bestanden die niet interactief zijn voor Azure Information Protection.

   3. Voer Set-Authentication uit en geef waarden op die zijn gekopieerd uit uw Microsoft Entra-toepassing:

   Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Voorbeeld:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   De scanner heeft nu een token om te verifiëren bij Microsoft Entra ID. Dit token is één jaar, twee jaar of nooit geldig volgens uw configuratie van het web-app-/API-clientgeheim in Microsoft Entra-id. Wanneer het token verloopt, moet u deze procedure herhalen.

7. Voer de cmdlet Set-ScannerConfiguration uit om de scanner in te stellen op de offlinemodus. Run:

   Set-ScannerConfiguration -OnlineConfiguration Off
   

8. Voer de cmdlet Set-ScannerContentScanJob uit om een standaardtaak voor inhoudsscans te maken.

   De enige vereiste parameter in de cmdlet Set-ScannerContentScanJob is Afdwingen. Het is echter mogelijk dat u op dit moment andere instellingen voor uw inhoudsscantaak wilt definiëren. Voorbeeld:

   Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   Met de bovenstaande syntaxis worden de volgende instellingen geconfigureerd terwijl u doorgaat met de configuratie:

   • Houdt de planning van de scanner op handmatig
   • Hiermee stelt u de informatietypen in die moeten worden gedetecteerd op basis van het beleid voor vertrouwelijkheidslabels
   • Dwingt geen beleid voor vertrouwelijkheidslabels af
   • Bestanden automatisch labelen op basis van inhoud, met behulp van het standaardlabel dat is gedefinieerd voor het beleid voor vertrouwelijkheidslabels
   • Bestanden opnieuw labelen is niet toegestaan
   • Behoudt bestandsgegevens tijdens het scannen en automatisch labelen, inclusief datum gewijzigd, laatst gewijzigd en gewijzigd door waarden
   • Hiermee stelt u de scanner in om .msg- en .tmp-bestanden uit te sluiten wanneer deze wordt uitgevoerd
   • Hiermee stelt u de standaardeigenaar in op het account dat u wilt gebruiken bij het uitvoeren van de scanner

9. Gebruik de cmdlet Add-ScannerRepository om de opslagplaatsen te definiëren die u wilt scannen in uw inhoudsscantaak. Voer bijvoorbeeld het volgende uit:

   Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Gebruik een van de volgende syntaxis, afhankelijk van het type opslagplaats dat u toevoegt:

   • Gebruik \\Server\Foldervoor een netwerkshare.
   • Gebruik voor een SharePoint-bibliotheek http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Voor een lokaal pad: C:\Folder
   • Voor een UNC-pad: \\Server\Folder

   Notitie

   Jokertekens worden niet ondersteund en WebDav-locaties worden niet ondersteund.

   Als u de opslagplaats later wilt wijzigen, gebruikt u in plaats daarvan de cmdlet Set-ScannerRepository .

Ga indien nodig door met de volgende stappen:

• Voer een detectiecyclus uit en bekijk rapporten voor de scanner
• PowerShell gebruiken om de scanner te configureren om classificatie en beveiliging toe te passen
• PowerShell gebruiken om een DLP-beleid met de scanner te configureren

De volgende tabel bevat PowerShell-cmdlets die relevant zijn voor het installeren van de scanner en het beheren van uw inhoudsscantaken:

Cmdlet	Beschrijving
Add-ScannerRepository	Voegt een nieuwe opslagplaats toe aan uw inhoudsscantaak.
Get-ScannerConfiguration	Retourneert details over uw cluster.
Get-ScannerContentScan	Hiermee haalt u details over uw inhoudsscantaak op.
Get-ScannerRepository	Hiermee haalt u details op over opslagplaatsen die zijn gedefinieerd voor uw inhoudsscantaak.
Remove-ScannerContentScan	Hiermee verwijdert u de inhoudsscantaak.
Remove-ScannerRepository	Hiermee verwijdert u een opslagplaats uit uw inhoudsscantaak.
Set-ScannerContentScan	Definieert instellingen voor uw inhoudsscantaak.
Set-ScannerRepository	Hiermee definieert u instellingen voor een bestaande opslagplaats in uw inhoudsscantaak.

Zie voor meer informatie:

• Meer informatie over de scanner voor gegevensbeveiliging
• De scanner voor gegevensbeveiliging configureren en installeren
• Uw inhoudsscantaken alleen beheren met PowerShell