Compartilhar via


Proteção de Informações do Microsoft Purview para Office 365 operada pela 21Vianet

Este artigo aborda as diferenças entre o suporte da Proteção de Informações do Microsoft Purview para o Office 365 operado pela 21Vianet e as ofertas comerciais que se limitam a oferecer anteriormente conhecida como Proteção de Informações do Azure (AIP), bem como instruções de configuração específicas para clientes na China, incluindo como instalar o mecanismo de varredura de proteção de informações e gerenciar trabalhos de verificação de conteúdo.

Diferenças entre a 21Vianet e as ofertas comerciais

Embora nosso objetivo seja fornecer todos os recursos e funcionalidades comerciais aos clientes na China com nosso suporte de Proteção de Informações Microsoft Purview para Office 365 operado pela oferta 21Vianet, há algumas funcionalidades ausentes:

  • A criptografia do Active Directory Rights Management Services (AD RMS) tem suporte somente no Microsoft 365 Apps para Grandes Empresas (compilação 11731.10000 ou posterior). O Office Professional Plus não oferece suporte ao AD RMS.

  • A migração do AD RMS para a AIP não está disponível no momento.

  • Há suporte para o compartilhamento de emails protegidos com usuários na nuvem comercial.

  • O compartilhamento de documentos e anexos de email com usuários na nuvem comercial não está disponível no momento. Isso inclui o Office 365 operado por usuários da 21Vianet na nuvem comercial, não o Office 365 operado por usuários da 21Vianet na nuvem comercial e usuários com uma licença do RMS para indivíduos.

  • IRM com SharePoint (bibliotecas e sites protegidos por IRM) não estão disponíveis no momento.

  • A Extensão de Dispositivo Móvel AD RMS não está disponível no momento.

  • O Visualizador Móvel não é suportado pelo Azure China 21Vianet.

  • A área de scanner do portal de conformidade não está disponível para clientes na China. Use os comandos do PowerShell em vez de executar ações no portal, como gerenciar e executar seus trabalhos de digitalização de conteúdo.

  • Os pontos de extremidade de rede para o cliente Microsoft Purview Information Protection no ambiente 21Vianet são diferentes dos pontos de extremidade necessários para outros serviços de nuvem. A conectividade de rede dos clientes para os seguintes pontos de extremidade é necessária:

    • Faça o download dos rótulos e das políticas de rótulos: *.protection.partner.outlook.cn
    • Serviço do Azure Rights Management:*.aadrm.cn
  • O Acompanhamento e a Revogação de Documentos pelos usuários não estão disponíveis no momento.

Configuração para clientes em 21Vianet

Para configurar o suporte do Microsoft Purview Information Protection para o Office 365 operado pela 21Vianet:

  1. Habilitar o Rights Management para o locatário.

  2. Adicione a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft.

  3. Configurar a criptografia DNS.

  4. Instale e configure o cliente Microsoft Purview Information Protection.

  5. Defina as configurações do Windows.

  6. Instale o scanner de proteção de informações e gerencie trabalhos de digitalização de conteúdo.

Etapa 1: habilitar o Rights Management para o locatário

Para que a criptografia funcione corretamente, o serviço de gerenciamento de direitos (RMS) deve estar habilitado para o locatário.

  1. Verifique se o RMS está habilitado:

    1. Inicie o PowerShell como um administrador.
    2. Se o módulo AIPService não estiver instalado, execute Install-Module AipService.
    3. Importe o módulo usando Import-Module AipService.
    4. Conecte-se ao serviço usando Connect-AipService -environmentname azurechinacloud.
    5. Execute (Get-AipServiceConfiguration).FunctionalState e verifique se o estado é Enabled.
  2. Se o estado funcional for Disabled, execute Enable-AipService.

Etapa 2: adicionar a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft

A entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft não está disponível nos locatários do Azure China por padrão e é necessária para a Proteção de Informações do Azure. Crie essa entidade de serviço manualmente por meio do módulo Azure Az PowerShell.

  1. Se você não tiver o módulo Azure Az instalado, instale-o ou use um recurso em que o módulo Azure Az venha pré-instalado, como o Azure Cloud Shell. Para saber mais, confira Instalar o módulo Az PowerShell do Azure.

  2. Conecte-se ao serviço usando o cmdlet Connect-AzAccount e o nome do ambiente azurechinacloud:

    Connect-azaccount -environmentname azurechinacloud
    
  3. Crie a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft manualmente usando o cmdlet New-AzADServicePrincipal e a ID do aplicativo 870c4f2e-85b6-4d43-bdda-6ed9a579b725 para o Serviço de Sincronização da Proteção de Informações do Microsoft Purview:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
    
  4. Depois de adicionar a entidade de serviço, adicione as permissões relevantes necessárias ao serviço.

Etapa 3: configurar a criptografia DNS

Para que a criptografia funcione corretamente, os aplicativos cliente do Office devem se conectar à instância da China do serviço e inicializar a partir daí. Para redirecionar aplicativos cliente para a instância de serviço correta, o administrador de locatários deve configurar um registro SRV DNS com informações sobre a URL do Azure RMS. Sem o registro SRV DNS, o aplicativo cliente tentará se conectar à instância de nuvem pública por padrão e falhará.

Além disso, pressupõe-se que os usuários farão logon com o nome de usuário baseado no domínio de propriedade do locatário (por exemplo: joe@contoso.cn), e não o nome de usuário onmschina (por exemplo: joe@contoso.onmschina.cn). O nome de domínio do nome de usuário é usado para redirecionamento de DNS para a instância de serviço correta.

Configurar a criptografia DNS - Windows

  1. Obtenha a ID do RMS:

    1. Inicie o PowerShell como um administrador.
    2. Se o módulo AIPService não estiver instalado, execute Install-Module AipService.
    3. Conecte-se ao serviço usando Connect-AipService -environmentname azurechinacloud.
    4. Execute (Get-AipServiceConfiguration).RightsManagementServiceId para obter a ID do RMS.
  2. Faça logon no provedor de DNS, navegue até as configurações de DNS do domínio e adicione um novo registro SRV.

    • Serviço = _rmsredir
    • Protocolo = _http
    • Nome = _tcp
    • Destino = [GUID].rms.aadrm.cn (onde GUID é a ID do RMS)
    • Prioridade, Peso, Segundos, TTL = valores padrão
  3. Associe o Custom Domain ao locatário no portal do Azure. Isso adicionará uma entrada no DNS, que pode levar vários minutos para ser verificada depois que você adicionar o valor às configurações de DNS.

  4. Faça logon no Centro de administração do Microsoft 365 com as credenciais de administrador global correspondentes e adicione o domínio (por exemplo, contoso.cn) para a criação do usuário. No processo de verificação, podem ser necessárias alterações adicionais no DNS. Uma vez que a verificação é feita, os usuários podem ser criados.

Configurar a criptografia DNS - Mac, iOS, Android

Faça logon no provedor de DNS, navegue até as configurações de DNS do domínio e adicione um novo registro SRV.

  • Serviço = _rmsdisco
  • Protocolo = _http
  • Nome = _tcp
  • Destino = api.aadrm.cn
  • Porta = 80
  • Prioridade, Peso, Segundos, TTL = valores padrão

Etapa 4: Instalar e configurar o cliente de rotulagem

Transfira e instale o cliente Microsoft Purview Information Protection a partir do Centro de Transferências da Microsoft.

Para saber mais, veja:

Etapa 5: Definir configurações do Windows

O Windows precisa da seguinte chave do Registro para autenticação para apontar para a nuvem soberana correta para o Azure China:

  • Nó do Registro = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Nome = CloudEnvType
  • Valor = 6 (padrão = 0)
  • Digite = REG_DWORD

Importante

Lembre-se de não excluir a chave do Registro após uma desinstalação. Se a chave estiver vazia, incorreta ou não existir, a funcionalidade se comportará como o valor padrão (valor padrão = 0 para a nuvem comercial). Se a chave estiver vazia ou incorreta, um erro de impressão também será adicionado ao log.

Etapa 6: instalar o scanner de proteção de informações e gerenciar trabalhos de digitalização de conteúdo

Instale o scanner de Proteção de Informações do Microsoft Purview para verificar sua rede e compartilhamentos de conteúdo em busca de dados confidenciais e para aplicar rótulos de classificação e proteção conforme configurado na política da organização.

Ao configurar e gerenciar seus trabalhos de digitalização de conteúdo, use o procedimento a seguir em vez do portal de conformidade do Microsoft Purview usado pelas ofertas comerciais.

Para obter mais informações, confira Saiba mais sobre o scanner de proteção de informações e Gerenciar os trabalhos de digitalização de conteúdo usando somente o PowerShell.

Para instalar e configurar o scanner:

  1. Inicie a sessão no computador com o Windows Server que executará o scanner. Use uma conta que tenha direitos de administrador local e que tenha permissões de gravação no banco de dados mestre do SQL Server.

  2. Comece com o PowerShell fechado. Se você tiver instalado anteriormente o mecanismo de varredura de proteção de informações, verifique se o serviço Microsoft Purview Information Protection Scanner está parado.

  3. Abra uma sessão do Windows PowerShell com a opção Executar como administrador.

  4. Execute o cmdlet Install-Scanner , especificando a instância do SQL Server na qual criar um banco de dados para o mecanismo de varredura do Microsoft Purview Information Protection e um nome significativo para o cluster do scanner.

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Dica

    Você pode usar o mesmo nome de cluster no comando Install-Scanner para associar vários nós de scanner ao mesmo cluster. O uso do mesmo cluster para vários nós de scanner permite que vários scanners trabalhem juntos para executar as varreduras.

  5. Verifique se agora o serviço está instalado usando Ferramentas Adminstrativas>Serviços.

    O serviço instalado é chamado Microsoft Purview Information Protection Scanner e está configurado para ser executado usando a conta de serviço do scanner que você criou.

  6. Obtenha um token do Azure para usar com seu scanner. Um token do Microsoft Entra permite que o scanner se autentique no serviço Proteção de Informações do Azure e possa ser executado de forma não interativa.

    1. Abra o portal do Azure e crie um aplicativo do Microsoft Entra para especificar um token de acesso para autenticação. Para obter mais informações, confira Como rotular arquivos de forma não interativa para a Proteção de Informações do Azure.

      Dica

      Ao criar e configurar aplicativos do Microsoft Entra para o comando Set-Authentication, o painel Solicitar permissões de API mostra a guia APIs que minha organização usa em vez da guia APIs da Microsoft. Selecione as APIs que minha organização usa para selecionar o Azure Rights Management Services.

    2. No computador Windows Server, se a sua conta de serviço do scanner tiver recebido o direito de Fazer logon localmente para a instalação, entre com essa conta e inicie uma sessão do PowerShell.

      Se não for possível conceder à sua conta de serviço de scanner o direito Fazer logon localmente para a instalação, use o parâmetro OnBehalfOf com Set-Authentication, conforme descrito em Como rotular arquivos de forma não interativa para a Proteção de Informações do Azure.

    3. Execute Set-Authentication, especificando valores copiados do seu aplicativo Microsoft Entra:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Por exemplo:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Agora, o scanner tem um token para autenticar-se no Microsoft Entra ID. Esse token é válido por um ano, dois anos ou nunca, de acordo com a configuração do segredo do cliente do aplicativo Web /API no Microsoft Entra ID. Você deve repetir esse procedimento quando o token expirar.

  7. Execute o cmdlet Set-ScannerConfiguration para definir o mecanismo de varredura para funcionar no modo offline. Correr:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  8. Execute o cmdlet Set-ScannerContentScanJob para criar um trabalho de verificação de conteúdo padrão.

    O único parâmetro necessário no cmdlet Set-ScannerContentScanJob é Enforce. No entanto, convém definir outras configurações para seu trabalho de digitalização de conteúdo no momento. Por exemplo:

    Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    A sintaxe acima define as seguintes configurações enquanto você continua a configuração:

    • Mantém o agendamento de execução do scanner para manual
    • Define os tipos de informações a serem descobertos com base na política de rótulo de confidencialidade
    • Não impõe uma política de rótulo de confidencialidade
    • Rotula automaticamente os arquivos com base no conteúdo, usando o rótulo padrão definido para a política de rótulo de confidencialidade
    • Não permite rotular novamente os arquivos
    • Preserva os detalhes do arquivo durante a digitalização e a rotulagem automática, incluindo os valores de data de modificação, última modificação e modificado por
    • Define o scanner para excluir arquivos .msg e .tmp durante a execução
    • Define o proprietário padrão para a conta que você deseja usar ao executar o scanner
  9. Use o cmdlet Add-ScannerRepository para definir os repositórios que você deseja verificar em seu trabalho de verificação de conteúdo. Por exemplo, execute:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Use uma das seguintes sintaxes, dependendo do tipo de repositório que você está adicionando:

    • Para um compartilhamento de rede, use \\Server\Folder.
    • Para uma biblioteca do SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Para um caminho local: C:\Folder
    • Para um caminho UNC: \\Server\Folder

    Observação

    Não há suporte para recursos de curinga e para locais WebDav.

    Para modificar o repositório posteriormente, use o cmdlet Set-ScannerRepository .

Continue com as seguintes etapas, conforme necessário:

A tabela a seguir lista cmdlets do PowerShell que são relevantes para instalar o scanner e gerenciar seus trabalhos de digitalização de conteúdo:

Cmdlet Descrição
Add-ScannerRepository Adiciona um novo repositório ao trabalho de digitalização de conteúdo.
Get-ScannerConfiguration Retorna detalhes sobre o cluster.
Get-ScannerContentScan Obtém detalhes sobre o trabalho de digitalização de conteúdo.
Get-ScannerRepository Obtém detalhes sobre repositórios definidos para o trabalho de digitalização de conteúdo.
Remove-ScannerContentScan Exclui o trabalho de digitalização de conteúdo.
Remove-ScannerRepository Remove um repositório do trabalho de digitalização de conteúdo.
Set-ScannerContentScan Define as configurações do trabalho de digitalização de conteúdo.
Set-ScannerRepository Define as configurações de um repositório existente em seu trabalho de digitalização de conteúdo.

Para saber mais, veja: