Descrição do serviço governamental do Proteção de Informações do Azure Premium

Observação

Para fornecer uma experiência unificada e simplificada ao cliente, o Cliente clássico da Proteção de Informações do Azure e o Gerenciamento de rótulos no Portal do Azure foram descontinuados para clientes GCC, GCC-H e DoD a partir de 31 de setembro de 2021.

O cliente clássico será oficialmente desativado e interromperá o funcionamento em 31 de março de 2022.

Todos os clientes atuais do cliente clássico da Proteção de Informações do Azure devem migrar para a plataforma de rotulagem unificada do Microsoft Purview Information Protection e atualizar para o cliente de rotulagem unificado. Saiba mais em nosso blog de migração.

Como usar esta descrição de serviço

A rotulagem unificada da Proteção de Informações do Azure está disponível para clientes GCC, GCC High e DoD.

A Descrição do Serviço Governamental Premium da Proteção de Informações do Azure foi projetada para servir como uma visão geral de nossa oferta nos ambientes GCC High e DoD e cobrirá variações de recursos em comparação com as ofertas comerciais do Azure Information Protection Premium.

Proteção de Informações do Azure Premium Serviços governamentais e de terceiros

Alguns serviços Premium do Azure Information Protection oferecem a capacidade de trabalhar perfeitamente com aplicações e serviços de terceiros.

Estas aplicações e serviços de terceiros podem envolver o armazenamento, a transmissão e o processamento do conteúdo do cliente da sua organização em sistemas de terceiros que estão fora da infraestrutura do Azure Information Protection Premium e, portanto, não abrangidos pelos nossos compromissos de conformidade e proteção de dados.

Certifique-se de revisar as declarações de privacidade e conformidade fornecidas por terceiros ao avaliar o uso apropriado desses serviços para sua organização.

Paridade com as ofertas comerciais premium da Proteção de Informações do Azure

Para obter informações sobre as lacunas existentes conhecidas entre o GCC High/DoD do Azure Information Protection Premium e a oferta comercial, consulte a disponibilidade do recurso Cloud para clientes do governo dos EUA para a Proteção de Informações do Azure..

Configurando a Proteção de Informações do Azure para clientes GCC High e DoD

Os detalhes de configuração a seguir são relevantes para todas as soluções de Proteção de Informações do Azure para clientes GCC High e DoD, incluindo soluções de rotulagem unificada.

• Habilitar o Rights Management para o locatário
• Configuração de DNS para criptografia (Windows)
• Configuração de DNS para criptografia (Mac, iOS, Android)
• Migração de rótulos
• Configuração de aplicativos AIP

Importante

A partir da atualização de julho de 2020, todos os novos clientes GCC High da solução de rotulagem unificada da Proteção de Informações do Azure podem usar apenas os recursos do menu Geral e do menu Scanner.

Habilitar o Rights Management para o locatário

Para que a criptografia funcione corretamente, o Rights Management Service deve estar habilitado para o locatário.

• Verificar se o serviço Rights Management está habilitado
  • Inicie o PowerShell como um Administrador
  • Executar Install-Module aadrm se o módulo AADRM não estiver instalado
  • Conectar-se ao serviço usando Connect-aadrmservice -environmentname azureusgovernment
  • Execute (Get-AadrmConfiguration).FunctionalState e verifique se o estado é Enabled
• Se o estado funcional for Disabled, execute Enable-Aadrm

Configuração de DNS para criptografia (Windows)

Para que a criptografia funcione corretamente, os aplicativos cliente do Office devem se conectar à instância GCC, GCC High/DoD do serviço e inicializar a partir daí. Para redirecionar aplicativos cliente para a instância de serviço correta, o administrador do locatário deve configurar um registro SRV DNS com informações sobre a URL do Azure RMS. Sem o registro SRV DNS, o aplicativo cliente tentará se conectar à instância de nuvem pública por padrão e falhará.

Além disso, a suposição é que os usuários farão logon com o nome de usuário baseado no domínio de propriedade do locatário (por exemplo: ), e não o nome de usuário onmicrosoft (por exemplo: joe@contoso.usjoe@contoso.onmicrosoft.us). O nome de domínio do nome de usuário é usado para redirecionamento de DNS para a instância de serviço correta.

• Obter a ID do Serviço Rights Management
  • Inicie o PowerShell como um Administrador
  • Se o módulo AADRM não estiver instalado, execute Install-Module aadrm
  • Conectar-se ao serviço usando Connect-aadrmservice -environmentname azureusgovernment
  • Executar (Get-aadrmconfiguration).RightsManagementServiceId para obter a ID do Serviço Rights Management
• Entre no provedor de DNS e navegue até as configurações de DNS do domínio para adicionar um novo registro SRV
  • Serviço = _rmsredir
  • Protocolo = _http
  • Nome = _tcp
  • Destino = [GUID].rms.aadrm.us (onde GUID é a ID do Serviço Rights Management)
  • Porta = 80
  • Prioridade, Peso, Segundos, TTL = valores padrão
• Associe o domínio personalizado ao locatário no portal do Azure. A associação do domínio personalizado adicionará uma entrada no DNS, que pode levar alguns minutos para ser verificada depois de adicionar o valor.
• Entre no Centro de Administração do Office com as credenciais de administrador global correspondentes e adicione o domínio (por exemplo: contoso.us) para a criação do usuário. No processo de verificação, mais algumas alterações de DNS podem ser necessárias. Uma vez que a verificação é feita, os usuários podem ser criados.

Configuração de DNS para criptografia (Mac, iOS, Android)

• Entre no provedor de DNS e navegue até as configurações de DNS do domínio para adicionar um novo registro SRV
  • Serviço = _rmsdisco
  • Protocolo = _http
  • Nome = _tcp
  • Destino = api.aadrm.us
  • Porta = 80
  • Prioridade, Peso, Segundos, TTL = valores padrão

Migração de rótulos

Os clientes GCC High e DoD precisam migrar todos os rótulos existentes usando o PowerShell. Os métodos tradicionais de migração AIP não são aplicáveis aos clientes GCC High e DoD.

Use o cmdlet New-Label para migrar seus rótulos de confidencialidade existentes. Certifique-se de seguir as instruções para conectar e executar o cmdlet usando o Security & Compliance Center antes de começar com a migração.

Exemplo de migração quando um rótulo de confidencialidade existente tem criptografia:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Configuração de aplicativos AIP

Ao trabalhar com o cliente da Proteção de Informações do Azure, você deve configurar uma das seguintes chaves do Registro para apontar seus aplicativos AIP no Windows para a nuvem soberana correta. Certifique-se de usar os valores corretos para sua configuração.

• Configuração de aplicativos AIP para o cliente de rotulagem unificado
• Configuração de aplicativos AIP para o cliente clássico

Configuração de aplicativos AIP para o cliente de rotulagem unificado

Relevante para: Somente o cliente de etiquetagem unificada AIP

Nó do Registro	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nome	CloudEnvType
Valor	= Comercial (padrão) 1 = GCC 2 = Alto GCC 3 = DoD
Tipo	REG_DWORD

Observação

• Se essa chave do Registro estiver vazia, incorreta ou ausente, o comportamento será revertido para o padrão (0 = Comercial).
• Se a chave estiver vazia ou incorreta, um erro de impressão também será adicionado ao log.
• Certifique-se de não excluir a chave do Registro após a desinstalação.

Configuração de aplicativos AIP para o cliente clássico

Relevante para: Somente o cliente clássico AIP

Nó do Registro	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nome	WebServiceUrl
Valor	https://api.informationprotection.azure.us
Tipo	REG_SZ (String)

Firewalls e infraestrutura de rede

Se você tiver um firewall ou dispositivos de rede intervenientes semelhantes configurados para permitir conexões específicas, use as configurações a seguir para garantir uma comunicação suave para a Proteção de Informações do Azure.

• Conexão de cliente a serviço TLS: não encerre a conexão de cliente a serviço TLS com a URL rms.aadrm.us (por exemplo, para executar inspeção em nível de pacote).

  Você pode usar os seguintes comandos do PowerShell para ajudá-lo a determinar se sua conexão de cliente é encerrada antes de chegar ao serviço Azure Rights Management:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  O resultado deve mostrar que a autoridade de certificação emissora é de uma autoridade de certificação da Microsoft, por exemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Se você vir um nome de autoridade de certificação de emissão que não seja da Microsoft, é provável que sua conexão segura de cliente para serviço esteja sendo encerrada e precise ser reconfigurada no firewall.

• Baixando rótulos e políticas de rótulo (somente cliente clássico AIP): para habilitar o cliente clássico da Proteção de Informações do Azure para baixar rótulos e políticas de rótulo, permita que a URL api.informationprotection.azure.us por HTTPS.

Para saber mais, veja:

• Pontos de extremidade do DoD do governo dos EUA do Office 365
• Pontos de extremidade do US Government GCC High no Office 365

Marcas de serviço

Certifique-se de permitir o acesso a todas as portas para as seguintes etiquetas de serviço:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend