Obsługa usługi Azure Information Protection dla usługi Office 365 obsługiwanej przez firmę 21Vianet
W tym artykule opisano różnice między obsługą usługi Azure Information Protection (AIP) dla usługi Office 365 obsługiwanej przez firmę 21Vianet i oferty komercyjne, a także szczegółowe instrukcje dotyczące konfigurowania usługi AIP dla klientów w Chinach — w tym sposobu instalowania skanera ochrony informacji i zarządzania zadaniami skanowania zawartości.
Różnice między usługą AIP dla usługi Office 365 obsługiwanej przez firmę 21Vianet i oferty komercyjne
Chociaż naszym celem jest dostarczenie wszystkich funkcji komercyjnych i funkcjonalności klientom w Chinach dzięki naszej usłudze AIP dla usługi Office 365 obsługiwanej przez ofertę 21Vianet, istnieje kilka brakujących funkcji, które chcemy podkreślić.
Poniżej znajduje się lista luk między usługą AIP dla usługi Office 365 obsługiwaną przez firmę 21Vianet i naszymi ofertami komercyjnymi:
Szyfrowanie Usługi Active Directory Rights Management (AD RMS) jest obsługiwane tylko w Aplikacje Microsoft 365 dla przedsiębiorstw (kompilacja 11731.10000 lub nowsza). Pakiet Office Professional Plus nie obsługuje usług AD RMS.
Migracja z usług AD RMS do usługi AIP jest obecnie niedostępna.
Udostępnianie chronionych wiadomości e-mail użytkownikom w chmurze komercyjnej jest obsługiwane.
Udostępnianie dokumentów i załączników wiadomości e-mail użytkownikom w chmurze komercyjnej jest obecnie niedostępne. Obejmuje to usługę Office 365 obsługiwaną przez użytkowników 21Vianet w chmurze komercyjnej, spoza usługi Office 365 obsługiwanej przez użytkowników 21Vianet w chmurze komercyjnej oraz użytkowników z licencją RMS for Individuals.
Usługa IRM z programem SharePoint (witryny i biblioteki chronione za pomocą usługi IRM) jest obecnie niedostępna.
Rozszerzenie urządzenia przenośnego dla usług AD RMS jest obecnie niedostępne.
Aplikacja Mobile Viewer nie jest obsługiwana przez platformę Azure (Chiny) 21Vianet.
Obszar skanera portalu zgodności jest niedostępny dla klientów w Chinach. Użyj poleceń programu PowerShell zamiast wykonywać akcje w portalu, takie jak zarządzanie zadaniami skanowania zawartości i uruchamianie ich.
Punkty końcowe usługi AIP w usłudze Office 365 obsługiwane przez firmę 21Vianet różnią się od punktów końcowych wymaganych dla innych usług w chmurze. Wymagana jest łączność sieciowa od klientów do następujących punktów końcowych:
- Pobieranie zasad etykiet i etykiet:
*.protection.partner.outlook.cn
- Usługa Azure Rights Management:
*.aadrm.cn
- Pobieranie zasad etykiet i etykiet:
Śledzenie dokumentów i odwołania przez użytkowników nie są obecnie dostępne.
Konfigurowanie usługi AIP dla klientów w Chinach
Aby skonfigurować usługę AIP dla klientów w Chinach:
Dodaj jednostkę usługi synchronizacji usługi Microsoft Information Protection.
Zainstaluj i skonfiguruj klienta ujednoliconego etykietowania usługi AIP.
Zainstaluj skaner ochrony informacji i zarządzaj zadaniami skanowania zawartości.
Krok 1. Włączanie usługi Rights Management dla dzierżawy
Aby szyfrowanie działało poprawnie, usługa RMS musi być włączona dla dzierżawy.
Sprawdź, czy usługa RMS jest włączona:
- Uruchom program PowerShell jako administrator.
- Jeśli moduł AIPService nie jest zainstalowany, uruchom polecenie
Install-Module AipService
. - Zaimportuj moduł przy użyciu polecenia
Import-Module AipService
. - Połączenie do usługi przy użyciu polecenia
Connect-AipService -environmentname azurechinacloud
. - Uruchom polecenie
(Get-AipServiceConfiguration).FunctionalState
i sprawdź, czy stan toEnabled
.
Jeśli stan funkcjonalny to
Disabled
, uruchom polecenieEnable-AipService
.
Krok 2. Dodawanie jednostki usługi synchronizacji usługi Microsoft Information Protection
Jednostka usługi synchronizacji usługi Microsoft Information Protection nie jest domyślnie dostępna w dzierżawach usługi Azure (Chiny) i jest wymagana dla usługi Azure Information Protection. Utwórz tę jednostkę usługi ręcznie za pomocą modułu Azure Az programu PowerShell.
Jeśli nie masz zainstalowanego modułu Azure Az, zainstaluj go lub użyj zasobu, w którym moduł Azure Az jest wstępnie zainstalowany, na przykład azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Instalowanie modułu Azure Az PowerShell.
Połączenie do usługi przy użyciu polecenia cmdlet Połączenie-AzAccount i
azurechinacloud
nazwy środowiska:Connect-azaccount -environmentname azurechinacloud
Utwórz jednostkę usługi synchronizacji usługi Microsoft Information Protection ręcznie przy użyciu polecenia cmdlet New-AzADServicePrincipal i
870c4f2e-85b6-4d43-bdda-6ed9a579b725
identyfikatora aplikacji dla usługi synchronizacji usługi Microsoft Purview Information Protection:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
Po dodaniu jednostki usługi dodaj odpowiednie uprawnienia wymagane do usługi.
Krok 3. Konfigurowanie szyfrowania DNS
Aby szyfrowanie działało poprawnie, aplikacje klienckie pakietu Office muszą łączyć się z wystąpieniem usługi w Chinach i uruchamiać z tego miejsca. Aby przekierować aplikacje klienckie do odpowiedniego wystąpienia usługi, administrator dzierżawy musi skonfigurować rekord SRV DNS z informacjami o adresie URL usługi Azure RMS. Bez rekordu SRV DNS aplikacja kliencka podejmie próbę nawiązania domyślnego połączenia z wystąpieniem chmury publicznej i zakończy się niepowodzeniem.
Ponadto założeniem jest to, że użytkownicy będą logować się przy użyciu nazwy użytkownika na podstawie domeny należącej do dzierżawy (na przykład ), a nie onmschina
nazwy użytkownika (na przykład ). joe@contoso.cn
joe@contoso.onmschina.cn
Nazwa domeny z nazwy użytkownika jest używana do przekierowywania DNS do poprawnego wystąpienia usługi.
Konfigurowanie szyfrowania DNS — Windows
Pobierz identyfikator usługi RMS:
- Uruchom program PowerShell jako administrator.
- Jeśli moduł AIPService nie jest zainstalowany, uruchom polecenie
Install-Module AipService
. - Połączenie do usługi przy użyciu polecenia
Connect-AipService -environmentname azurechinacloud
. - Uruchom polecenie
(Get-AipServiceConfiguration).RightsManagementServiceId
, aby uzyskać identyfikator usługi RMS.
Zaloguj się do dostawcy DNS, przejdź do ustawień DNS dla domeny, a następnie dodaj nowy rekord SRV.
- Usługa =
_rmsredir
- Protokół =
_http
- Nazwa =
_tcp
- Target =
[GUID].rms.aadrm.cn
(gdzie identyfikator GUID jest identyfikatorem RMS) - Priorytet, waga, sekundy, czas wygaśnięcia = wartości domyślne
- Usługa =
Skojarz domenę niestandardową z dzierżawą w witrynie Azure Portal. Spowoduje to dodanie wpisu w systemie DNS, co może potrwać kilka minut po dodaniu wartości do ustawień DNS.
Zaloguj się do Centrum administracyjne platformy Microsoft 365 przy użyciu odpowiednich poświadczeń administratora globalnego i dodaj domenę (na przykład
contoso.cn
) w celu utworzenia użytkownika. W procesie weryfikacji mogą być wymagane dodatkowe zmiany DNS. Po zakończeniu weryfikacji można utworzyć użytkowników.
Konfigurowanie szyfrowania DNS — Komputery Mac, iOS, Android
Zaloguj się do dostawcy DNS, przejdź do ustawień DNS dla domeny, a następnie dodaj nowy rekord SRV.
- Usługa =
_rmsdisco
- Protokół =
_http
- Nazwa =
_tcp
- Target =
api.aadrm.cn
- Port =
80
- Priorytet, waga, sekundy, czas wygaśnięcia = wartości domyślne
Krok 4. Instalowanie i konfigurowanie klienta ujednoliconego etykietowania usługi AIP
Pobierz i zainstaluj klienta ujednoliconego etykietowania usługi AIP z Centrum pobierania Microsoft.
Aby uzyskać więcej informacji, zobacz:
- Dokumentacja usługi AIP
- Historia wersji i zasady pomocy technicznej usługi AIP
- Wymagania systemowe usługi AIP
- Szybki start dotyczący usługi AIP: wdrażanie klienta usługi AIP
- Przewodnik administratora usługi AIP
- Podręcznik użytkownika usługi AIP
- Dowiedz się więcej o etykietach poufności
Krok 5. Konfigurowanie aplikacji usługi AIP w systemie Windows
Aplikacje usługi AIP w systemie Windows wymagają następującego klucza rejestru, aby wskazać im poprawną suwerenną chmurę dla platformy Azure w Chinach:
- Węzeł rejestru =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Nazwa =
CloudEnvType
- Wartość =
6
(wartość domyślna = 0) - Typ =
REG_DWORD
Ważne
Upewnij się, że klucz rejestru nie został usunięty po odinstalowaniu. Jeśli klucz jest pusty, niepoprawny lub nieistniejący, funkcja będzie zachowywać się jako wartość domyślna (wartość domyślna = 0 dla chmury komercyjnej). Jeśli klucz jest pusty lub niepoprawny, do dziennika jest również dodawany błąd drukowania.
Krok 6. Instalowanie skanera ochrony informacji i zarządzanie zadaniami skanowania zawartości
Zainstaluj skaner usługi Microsoft Purview Information Protection, aby skanować udziały sieci i zawartości pod kątem poufnych danych oraz stosować etykiety klasyfikacji i ochrony zgodnie z konfiguracją w zasadach organizacji.
Podczas konfigurowania zadań skanowania zawartości i zarządzania nimi należy użyć poniższej procedury zamiast portal zgodności Microsoft Purview używanych przez oferty komercyjne.
Aby uzyskać więcej informacji, zobacz Informacje o skanerze ochrony informacji i Zarządzanie zadaniami skanowania zawartości tylko przy użyciu programu PowerShell.
Aby zainstalować i skonfigurować skaner:
Zaloguj się na komputerze z systemem Windows Server, który uruchomi skaner. Użyj konta z uprawnieniami administratora lokalnego i ma uprawnienia do zapisu w bazie danych master programu SQL Server.
Rozpocznij od zamknięcia programu PowerShell. Jeśli wcześniej zainstalowano klienta i skaner usługi AIP, upewnij się, że usługa AIPScanner została zatrzymana.
Otwórz sesję programu Windows PowerShell z opcją Uruchom jako administrator .
Uruchom polecenie cmdlet Install-AIPScanner, określając wystąpienie programu SQL Server, na którym ma zostać utworzona baza danych skanera usługi Azure Information Protection, oraz zrozumiała nazwa klastra skanera.
Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
Napiwek
Możesz użyć tej samej nazwy klastra w poleceniu Install-AIPScanner , aby skojarzyć wiele węzłów skanera z tym samym klastrem. Użycie tego samego klastra dla wielu węzłów skanera umożliwia współdziałanie wielu skanerów w celu przeprowadzenia skanowania.
Sprawdź, czy usługa jest teraz zainstalowana przy użyciu Administracja istrative Tools>Services.
Zainstalowana usługa nosi nazwę Skaner usługi Azure Information Protection i jest skonfigurowana do uruchamiania przy użyciu utworzonego konta usługi skanera.
Pobierz token platformy Azure do użycia ze skanerem. Token firmy Microsoft Entra umożliwia skanerowi uwierzytelnianie w usłudze Azure Information Protection, co umożliwia uruchamianie skanera nieinterakcyjnego.
Otwórz witrynę Azure Portal i utwórz aplikację Firmy Microsoft Entra, aby określić token dostępu do uwierzytelniania. Aby uzyskać więcej informacji, zobacz How to label files non-interactively for Azure Information Protection (Jak oznaczać pliki nieinterakcyjne dla usługi Azure Information Protection).
Napiwek
Podczas tworzenia i konfigurowania aplikacji firmy Microsoft dla polecenia Set-AIPAuthentication okienko Żądania uprawnień interfejsu API zawiera interfejsy API używane przez moją organizację kartę zamiast kartę Interfejsy API firmy Microsoft. Wybierz interfejsy API używane przez moją organizację do wybrania usług Azure Rights Management Services.
Na komputerze z systemem Windows Server, jeśli konto usługi skanera zostało przyznane logowanie lokalne do instalacji, zaloguj się przy użyciu tego konta i uruchom sesję programu PowerShell.
Jeśli nie można udzielić konta usługi skanera logowania lokalnego dla instalacji, użyj parametru OnBehalfOf z ustawieniem Set-AIPAuthentication, zgodnie z opisem w temacie Jak oznaczać pliki nieinterakcyjne dla usługi Azure Information Protection.
Uruchom polecenie Set-AIPAuthentication, określając wartości skopiowane z aplikacji Firmy Microsoft Entra:
Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Na przykład:
$pscreds = Get-Credential CONTOSO\scanner Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
Skaner ma teraz token do uwierzytelniania w usłudze Microsoft Entra ID. Ten token jest ważny przez jeden rok, dwa lata lub nigdy, zgodnie z konfiguracją wpisu tajnego klienta aplikacji internetowej /API w identyfikatorze Entra firmy Microsoft. Po wygaśnięciu tokenu należy powtórzyć tę procedurę.
Uruchom polecenie cmdlet Set-AIPScannerConfiguration, aby ustawić skaner tak, aby działał w trybie offline. Uruchom:
Set-AIPScannerConfiguration -OnlineConfiguration Off
Uruchom polecenie cmdlet Set-AIPScannerContentScanJob, aby utworzyć domyślne zadanie skanowania zawartości.
Jedynym wymaganym parametrem w poleceniu cmdlet Set-AIPScannerContentScanJob jest Wymuszanie. Jednak w tej chwili możesz zdefiniować inne ustawienia zadania skanowania zawartości. Na przykład:
Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
Powyższa składnia konfiguruje następujące ustawienia podczas kontynuowania konfiguracji:
- Utrzymuje harmonogram uruchamiania skanera do ręcznego
- Ustawia typy informacji do odnalezienia na podstawie zasad etykietowania poufności
- Nie wymusza zasad etykietowania poufności
- Automatycznie etykietuje pliki na podstawie zawartości przy użyciu etykiety domyślnej zdefiniowanej dla zasad etykietowania poufności
- Nie zezwala na ponowne etykietowanie plików
- Zachowuje szczegóły pliku podczas skanowania i automatycznego etykietowania, w tym daty modyfikacji, ostatniej modyfikacji i modyfikacji według wartości
- Ustawia skaner tak, aby wykluczał pliki .msg i .tmp podczas uruchamiania
- Ustawia domyślnego właściciela konta, którego chcesz użyć podczas uruchamiania skanera
Użyj polecenia cmdlet Add-AIPScannerRepository, aby zdefiniować repozytoria, które mają być skanowane w zadaniu skanowania zawartości. Na przykład uruchom polecenie:
Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Użyj jednej z następujących składni, w zależności od typu dodawanego repozytorium:
- W przypadku udziału sieciowego użyj polecenia
\\Server\Folder
. - W przypadku biblioteki programu SharePoint użyj polecenia
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Ścieżka lokalna:
C:\Folder
- Dla ścieżki UNC:
\\Server\Folder
Uwaga
Symbole wieloznaczne nie są obsługiwane, a lokalizacje WebDav nie są obsługiwane.
Aby później zmodyfikować repozytorium, zamiast tego użyj polecenia cmdlet Set-AIPScannerRepository .
- W przypadku udziału sieciowego użyj polecenia
W razie potrzeby wykonaj następujące czynności:
- Uruchamianie cyklu odnajdywania i wyświetlanie raportów dotyczących skanera
- Konfigurowanie skanera w celu zastosowania klasyfikacji i ochrony za pomocą programu PowerShell
- Konfigurowanie zasad DLP za pomocą skanera przy użyciu programu PowerShell
W poniższej tabeli wymieniono polecenia cmdlet programu PowerShell, które są istotne dla instalowania skanera i zarządzania zadaniami skanowania zawartości:
Polecenia cmdlet | opis |
---|---|
Add-AIPScannerRepository | Dodaje nowe repozytorium do zadania skanowania zawartości. |
Get-AIPScannerConfiguration | Zwraca szczegóły dotyczące klastra. |
Get-AIPScannerContentScanJob | Pobiera szczegółowe informacje o zadaniu skanowania zawartości. |
Get-AIPScannerRepository | Pobiera szczegółowe informacje o repozytoriach zdefiniowanych dla zadania skanowania zawartości. |
Remove-AIPScannerContentScanJob | Usuwa zadanie skanowania zawartości. |
Remove-AIPScannerRepository | Usuwa repozytorium z zadania skanowania zawartości. |
Set-AIPScannerContentScanJob | Definiuje ustawienia zadania skanowania zawartości. |
Set-AIPScannerRepository | Definiuje ustawienia istniejącego repozytorium w zadaniu skanowania zawartości. |
Aby uzyskać więcej informacji, zobacz:
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla