Obsługa usługi Azure Information Protection dla usługi Office 365 obsługiwanej przez firmę 21Vianet

  • Artykuł

W tym artykule opisano różnice między obsługą usługi Azure Information Protection (AIP) dla usługi Office 365 obsługiwanej przez firmę 21Vianet i oferty komercyjne, a także szczegółowe instrukcje dotyczące konfigurowania usługi AIP dla klientów w Chinach — w tym sposobu instalowania skanera ochrony informacji i zarządzania zadaniami skanowania zawartości.

Różnice między usługą AIP dla usługi Office 365 obsługiwanej przez firmę 21Vianet i oferty komercyjne

Chociaż naszym celem jest dostarczenie wszystkich funkcji komercyjnych i funkcjonalności klientom w Chinach dzięki naszej usłudze AIP dla usługi Office 365 obsługiwanej przez ofertę 21Vianet, istnieje kilka brakujących funkcji, które chcemy podkreślić.

Poniżej znajduje się lista luk między usługą AIP dla usługi Office 365 obsługiwaną przez firmę 21Vianet i naszymi ofertami komercyjnymi:

  • Szyfrowanie Usługi Active Directory Rights Management (AD RMS) jest obsługiwane tylko w Aplikacje Microsoft 365 dla przedsiębiorstw (kompilacja 11731.10000 lub nowsza). Pakiet Office Professional Plus nie obsługuje usług AD RMS.

  • Migracja z usług AD RMS do usługi AIP jest obecnie niedostępna.

  • Udostępnianie chronionych wiadomości e-mail użytkownikom w chmurze komercyjnej jest obsługiwane.

  • Udostępnianie dokumentów i załączników wiadomości e-mail użytkownikom w chmurze komercyjnej jest obecnie niedostępne. Obejmuje to usługę Office 365 obsługiwaną przez użytkowników 21Vianet w chmurze komercyjnej, spoza usługi Office 365 obsługiwanej przez użytkowników 21Vianet w chmurze komercyjnej oraz użytkowników z licencją RMS for Individuals.

  • Usługa IRM z programem SharePoint (witryny i biblioteki chronione za pomocą usługi IRM) jest obecnie niedostępna.

  • Rozszerzenie urządzenia przenośnego dla usług AD RMS jest obecnie niedostępne.

  • Aplikacja Mobile Viewer nie jest obsługiwana przez platformę Azure (Chiny) 21Vianet.

  • Obszar skanera portalu zgodności jest niedostępny dla klientów w Chinach. Użyj poleceń programu PowerShell zamiast wykonywać akcje w portalu, takie jak zarządzanie zadaniami skanowania zawartości i uruchamianie ich.

  • Punkty końcowe usługi AIP w usłudze Office 365 obsługiwane przez firmę 21Vianet różnią się od punktów końcowych wymaganych dla innych usług w chmurze. Wymagana jest łączność sieciowa od klientów do następujących punktów końcowych:

    • Pobieranie zasad etykiet i etykiet: *.protection.partner.outlook.cn
    • Usługa Azure Rights Management: *.aadrm.cn

  • Śledzenie dokumentów i odwołania przez użytkowników nie są obecnie dostępne.

Konfigurowanie usługi AIP dla klientów w Chinach

Aby skonfigurować usługę AIP dla klientów w Chinach:

  1. Włącz usługę Rights Management dla dzierżawy.

  2. Dodaj jednostkę usługi synchronizacji usługi Microsoft Information Protection.

  3. Konfigurowanie szyfrowania DNS.

  4. Zainstaluj i skonfiguruj klienta ujednoliconego etykietowania usługi AIP.

  5. Konfigurowanie aplikacji usługi AIP w systemie Windows.

  6. Zainstaluj skaner ochrony informacji i zarządzaj zadaniami skanowania zawartości.

Krok 1. Włączanie usługi Rights Management dla dzierżawy

Aby szyfrowanie działało poprawnie, usługa RMS musi być włączona dla dzierżawy.

  1. Sprawdź, czy usługa RMS jest włączona:

    1. Uruchom program PowerShell jako administrator.
    2. Jeśli moduł AIPService nie jest zainstalowany, uruchom polecenie Install-Module AipService.
    3. Zaimportuj moduł przy użyciu polecenia Import-Module AipService.
    4. Połączenie do usługi przy użyciu polecenia Connect-AipService -environmentname azurechinacloud.
    5. Uruchom polecenie (Get-AipServiceConfiguration).FunctionalState i sprawdź, czy stan to Enabled.

  2. Jeśli stan funkcjonalny to Disabled, uruchom polecenie Enable-AipService.

Krok 2. Dodawanie jednostki usługi synchronizacji usługi Microsoft Information Protection

Jednostka usługi synchronizacji usługi Microsoft Information Protection nie jest domyślnie dostępna w dzierżawach usługi Azure (Chiny) i jest wymagana dla usługi Azure Information Protection. Utwórz tę jednostkę usługi ręcznie za pomocą modułu Azure Az programu PowerShell.

  1. Jeśli nie masz zainstalowanego modułu Azure Az, zainstaluj go lub użyj zasobu, w którym moduł Azure Az jest wstępnie zainstalowany, na przykład azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Instalowanie modułu Azure Az PowerShell.

  2. Połączenie do usługi przy użyciu polecenia cmdlet Połączenie-AzAccount i azurechinacloud nazwy środowiska:

    Connect-azaccount -environmentname azurechinacloud

  3. Utwórz jednostkę usługi synchronizacji usługi Microsoft Information Protection ręcznie przy użyciu polecenia cmdlet New-AzADServicePrincipal i 870c4f2e-85b6-4d43-bdda-6ed9a579b725 identyfikatora aplikacji dla usługi synchronizacji usługi Microsoft Purview Information Protection:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. Po dodaniu jednostki usługi dodaj odpowiednie uprawnienia wymagane do usługi.

Krok 3. Konfigurowanie szyfrowania DNS

Aby szyfrowanie działało poprawnie, aplikacje klienckie pakietu Office muszą łączyć się z wystąpieniem usługi w Chinach i uruchamiać z tego miejsca. Aby przekierować aplikacje klienckie do odpowiedniego wystąpienia usługi, administrator dzierżawy musi skonfigurować rekord SRV DNS z informacjami o adresie URL usługi Azure RMS. Bez rekordu SRV DNS aplikacja kliencka podejmie próbę nawiązania domyślnego połączenia z wystąpieniem chmury publicznej i zakończy się niepowodzeniem.

Ponadto założeniem jest to, że użytkownicy będą logować się przy użyciu nazwy użytkownika na podstawie domeny należącej do dzierżawy (na przykład ), a nie onmschina nazwy użytkownika (na przykład ). joe@contoso.cnjoe@contoso.onmschina.cn Nazwa domeny z nazwy użytkownika jest używana do przekierowywania DNS do poprawnego wystąpienia usługi.

Konfigurowanie szyfrowania DNS — Windows

  1. Pobierz identyfikator usługi RMS:

    1. Uruchom program PowerShell jako administrator.
    2. Jeśli moduł AIPService nie jest zainstalowany, uruchom polecenie Install-Module AipService.
    3. Połączenie do usługi przy użyciu polecenia Connect-AipService -environmentname azurechinacloud.
    4. Uruchom polecenie (Get-AipServiceConfiguration).RightsManagementServiceId , aby uzyskać identyfikator usługi RMS.

  2. Zaloguj się do dostawcy DNS, przejdź do ustawień DNS dla domeny, a następnie dodaj nowy rekord SRV.

    • Usługa = _rmsredir
    • Protokół = _http
    • Nazwa = _tcp
    • Target = [GUID].rms.aadrm.cn (gdzie identyfikator GUID jest identyfikatorem RMS)
    • Priorytet, waga, sekundy, czas wygaśnięcia = wartości domyślne

  3. Skojarz domenę niestandardową z dzierżawą w witrynie Azure Portal. Spowoduje to dodanie wpisu w systemie DNS, co może potrwać kilka minut po dodaniu wartości do ustawień DNS.

  4. Zaloguj się do Centrum administracyjne platformy Microsoft 365 przy użyciu odpowiednich poświadczeń administratora globalnego i dodaj domenę (na przykład contoso.cn) w celu utworzenia użytkownika. W procesie weryfikacji mogą być wymagane dodatkowe zmiany DNS. Po zakończeniu weryfikacji można utworzyć użytkowników.

Konfigurowanie szyfrowania DNS — Komputery Mac, iOS, Android

Zaloguj się do dostawcy DNS, przejdź do ustawień DNS dla domeny, a następnie dodaj nowy rekord SRV.

  • Usługa = _rmsdisco
  • Protokół = _http
  • Nazwa = _tcp
  • Target = api.aadrm.cn
  • Port = 80
  • Priorytet, waga, sekundy, czas wygaśnięcia = wartości domyślne

Krok 4. Instalowanie i konfigurowanie klienta ujednoliconego etykietowania usługi AIP

Pobierz i zainstaluj klienta ujednoliconego etykietowania usługi AIP z Centrum pobierania Microsoft.

Aby uzyskać więcej informacji, zobacz:

Krok 5. Konfigurowanie aplikacji usługi AIP w systemie Windows

Aplikacje usługi AIP w systemie Windows wymagają następującego klucza rejestru, aby wskazać im poprawną suwerenną chmurę dla platformy Azure w Chinach:

  • Węzeł rejestru = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Nazwa = CloudEnvType
  • Wartość = 6 (wartość domyślna = 0)
  • Typ = REG_DWORD

Ważne

Upewnij się, że klucz rejestru nie został usunięty po odinstalowaniu. Jeśli klucz jest pusty, niepoprawny lub nieistniejący, funkcja będzie zachowywać się jako wartość domyślna (wartość domyślna = 0 dla chmury komercyjnej). Jeśli klucz jest pusty lub niepoprawny, do dziennika jest również dodawany błąd drukowania.

Krok 6. Instalowanie skanera ochrony informacji i zarządzanie zadaniami skanowania zawartości

Zainstaluj skaner usługi Microsoft Purview Information Protection, aby skanować udziały sieci i zawartości pod kątem poufnych danych oraz stosować etykiety klasyfikacji i ochrony zgodnie z konfiguracją w zasadach organizacji.

Podczas konfigurowania zadań skanowania zawartości i zarządzania nimi należy użyć poniższej procedury zamiast portal zgodności Microsoft Purview używanych przez oferty komercyjne.

Aby uzyskać więcej informacji, zobacz Informacje o skanerze ochrony informacji i Zarządzanie zadaniami skanowania zawartości tylko przy użyciu programu PowerShell.

Aby zainstalować i skonfigurować skaner:

  1. Zaloguj się na komputerze z systemem Windows Server, który uruchomi skaner. Użyj konta z uprawnieniami administratora lokalnego i ma uprawnienia do zapisu w bazie danych master programu SQL Server.

  2. Rozpocznij od zamknięcia programu PowerShell. Jeśli wcześniej zainstalowano klienta i skaner usługi AIP, upewnij się, że usługa AIPScanner została zatrzymana.

  3. Otwórz sesję programu Windows PowerShell z opcją Uruchom jako administrator .

  4. Uruchom polecenie cmdlet Install-AIPScanner, określając wystąpienie programu SQL Server, na którym ma zostać utworzona baza danych skanera usługi Azure Information Protection, oraz zrozumiała nazwa klastra skanera.

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>

    Napiwek

    Możesz użyć tej samej nazwy klastra w poleceniu Install-AIPScanner , aby skojarzyć wiele węzłów skanera z tym samym klastrem. Użycie tego samego klastra dla wielu węzłów skanera umożliwia współdziałanie wielu skanerów w celu przeprowadzenia skanowania.

  5. Sprawdź, czy usługa jest teraz zainstalowana przy użyciu Administracja istrative Tools>Services.

    Zainstalowana usługa nosi nazwę Skaner usługi Azure Information Protection i jest skonfigurowana do uruchamiania przy użyciu utworzonego konta usługi skanera.

  6. Pobierz token platformy Azure do użycia ze skanerem. Token firmy Microsoft Entra umożliwia skanerowi uwierzytelnianie w usłudze Azure Information Protection, co umożliwia uruchamianie skanera nieinterakcyjnego.

    1. Otwórz witrynę Azure Portal i utwórz aplikację Firmy Microsoft Entra, aby określić token dostępu do uwierzytelniania. Aby uzyskać więcej informacji, zobacz How to label files non-interactively for Azure Information Protection (Jak oznaczać pliki nieinterakcyjne dla usługi Azure Information Protection).

      Napiwek

      Podczas tworzenia i konfigurowania aplikacji firmy Microsoft dla polecenia Set-AIPAuthentication okienko Żądania uprawnień interfejsu API zawiera interfejsy API używane przez moją organizację kartę zamiast kartę Interfejsy API firmy Microsoft. Wybierz interfejsy API używane przez moją organizację do wybrania usług Azure Rights Management Services.

    2. Na komputerze z systemem Windows Server, jeśli konto usługi skanera zostało przyznane logowanie lokalne do instalacji, zaloguj się przy użyciu tego konta i uruchom sesję programu PowerShell.

      Jeśli nie można udzielić konta usługi skanera logowania lokalnego dla instalacji, użyj parametru OnBehalfOf z ustawieniem Set-AIPAuthentication, zgodnie z opisem w temacie Jak oznaczać pliki nieinterakcyjne dla usługi Azure Information Protection.

    3. Uruchom polecenie Set-AIPAuthentication, określając wartości skopiowane z aplikacji Firmy Microsoft Entra:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Na przykład:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    Skaner ma teraz token do uwierzytelniania w usłudze Microsoft Entra ID. Ten token jest ważny przez jeden rok, dwa lata lub nigdy, zgodnie z konfiguracją wpisu tajnego klienta aplikacji internetowej /API w identyfikatorze Entra firmy Microsoft. Po wygaśnięciu tokenu należy powtórzyć tę procedurę.

  7. Uruchom polecenie cmdlet Set-AIPScannerConfiguration, aby ustawić skaner tak, aby działał w trybie offline. Uruchom:

    Set-AIPScannerConfiguration -OnlineConfiguration Off

  8. Uruchom polecenie cmdlet Set-AIPScannerContentScanJob, aby utworzyć domyślne zadanie skanowania zawartości.

    Jedynym wymaganym parametrem w poleceniu cmdlet Set-AIPScannerContentScanJob jest Wymuszanie. Jednak w tej chwili możesz zdefiniować inne ustawienia zadania skanowania zawartości. Na przykład:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    Powyższa składnia konfiguruje następujące ustawienia podczas kontynuowania konfiguracji:

    • Utrzymuje harmonogram uruchamiania skanera do ręcznego
    • Ustawia typy informacji do odnalezienia na podstawie zasad etykietowania poufności
    • Nie wymusza zasad etykietowania poufności
    • Automatycznie etykietuje pliki na podstawie zawartości przy użyciu etykiety domyślnej zdefiniowanej dla zasad etykietowania poufności
    • Nie zezwala na ponowne etykietowanie plików
    • Zachowuje szczegóły pliku podczas skanowania i automatycznego etykietowania, w tym daty modyfikacji, ostatniej modyfikacji i modyfikacji według wartości
    • Ustawia skaner tak, aby wykluczał pliki .msg i .tmp podczas uruchamiania
    • Ustawia domyślnego właściciela konta, którego chcesz użyć podczas uruchamiania skanera

  9. Użyj polecenia cmdlet Add-AIPScannerRepository, aby zdefiniować repozytoria, które mają być skanowane w zadaniu skanowania zawartości. Na przykład uruchom polecenie:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    Użyj jednej z następujących składni, w zależności od typu dodawanego repozytorium:

    • W przypadku udziału sieciowego użyj polecenia \\Server\Folder.
    • W przypadku biblioteki programu SharePoint użyj polecenia http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Ścieżka lokalna: C:\Folder
    • Dla ścieżki UNC: \\Server\Folder

    Uwaga

    Symbole wieloznaczne nie są obsługiwane, a lokalizacje WebDav nie są obsługiwane.

    Aby później zmodyfikować repozytorium, zamiast tego użyj polecenia cmdlet Set-AIPScannerRepository .

W razie potrzeby wykonaj następujące czynności:

W poniższej tabeli wymieniono polecenia cmdlet programu PowerShell, które są istotne dla instalowania skanera i zarządzania zadaniami skanowania zawartości:

Polecenia cmdlet opis
Add-AIPScannerRepository Dodaje nowe repozytorium do zadania skanowania zawartości.
Get-AIPScannerConfiguration Zwraca szczegóły dotyczące klastra.
Get-AIPScannerContentScanJob Pobiera szczegółowe informacje o zadaniu skanowania zawartości.
Get-AIPScannerRepository Pobiera szczegółowe informacje o repozytoriach zdefiniowanych dla zadania skanowania zawartości.
Remove-AIPScannerContentScanJob Usuwa zadanie skanowania zawartości.
Remove-AIPScannerRepository Usuwa repozytorium z zadania skanowania zawartości.
Set-AIPScannerContentScanJob Definiuje ustawienia zadania skanowania zawartości.
Set-AIPScannerRepository Definiuje ustawienia istniejącego repozytorium w zadaniu skanowania zawartości.

Aby uzyskać więcej informacji, zobacz: