Suporte da Proteção de Informações do Azure para o Office 365 operado pela 21Vianet

Este artigo aborda as diferenças entre o suporte da Proteção de Informações do Azure (AIP) para o Office 365 operado pela 21Vianet e ofertas comerciais, bem como instruções específicas para configurar a AIP para clientes na China, incluindo como instalar o scanner da proteção de informações e gerenciar trabalhos de digitalização de conteúdo.

Diferenças entre o AIP para Office 365 operado pela 21Vianet e as ofertas comerciais

Embora nosso objetivo seja fornecer todos os recursos e funcionalidades comerciais aos clientes na China com nossa AIP para Office 365 operada pela 21Vianet, há algumas funcionalidades ausentes que gostaríamos de destacar.

A seguir está uma lista de lacunas entre o AIP para Office 365 operado pela 21Vianet e nossas ofertas comerciais:

• A criptografia do Active Directory Rights Management Services (AD RMS) tem suporte somente no Microsoft 365 Apps para Grandes Empresas (compilação 11731.10000 ou posterior). O Office Professional Plus não oferece suporte ao AD RMS.

• A migração do AD RMS para a AIP não está disponível no momento.

• Há suporte para o compartilhamento de emails protegidos com usuários na nuvem comercial.

• O compartilhamento de documentos e anexos de email com usuários na nuvem comercial não está disponível no momento. Isso inclui o Office 365 operado por usuários da 21Vianet na nuvem comercial, não o Office 365 operado por usuários da 21Vianet na nuvem comercial e usuários com uma licença do RMS para indivíduos.

• IRM com SharePoint (bibliotecas e sites protegidos por IRM) não estão disponíveis no momento.

• A Extensão de Dispositivo Móvel AD RMS não está disponível no momento.

• O Visualizador Móvel não é suportado pelo Azure China 21Vianet.

• A área de scanner do portal de conformidade não está disponível para clientes na China. Use os comandos do PowerShell em vez de executar ações no portal, como gerenciar e executar seus trabalhos de digitalização de conteúdo.

• Os pontos de extremidade do AIP no Office 365 operados pela 21Vianet são diferentes dos pontos de extremidade necessários para outros serviços de nuvem. A conectividade de rede dos clientes para os seguintes pontos de extremidade é necessária:

  • Faça o download dos rótulos e das políticas de rótulos: *.protection.partner.outlook.cn
  • Serviço do Azure Rights Management:*.aadrm.cn

• O Acompanhamento e a Revogação de Documentos pelos usuários não estão disponíveis no momento.

Configurar o AIP para clientes na China

Para configurar a AIP para clientes na China:

1. Habilitar o Rights Management para o locatário.

2. Adicione a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft.

3. Configurar a criptografia DNS.

4. Instalar e configurar o cliente de rotulagem unificada da AIP.

5. Configure aplicativos AIP no Windows.

6. Instale o scanner de proteção de informações e gerencie trabalhos de digitalização de conteúdo.

Etapa 1: habilitar o Rights Management para o locatário

Para que a criptografia funcione corretamente, o RMS deve estar habilitado para o locatário.

1. Verifique se o RMS está habilitado:

   1. Inicie o PowerShell como um administrador.
   2. Se o módulo AIPService não estiver instalado, execute Install-Module AipService.
   3. Importe o módulo usando Import-Module AipService.
   4. Conecte-se ao serviço usando Connect-AipService -environmentname azurechinacloud.
   5. Execute (Get-AipServiceConfiguration).FunctionalState e verifique se o estado é Enabled.

2. Se o estado funcional for Disabled, execute Enable-AipService.

Etapa 2: adicionar a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft

A entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft não está disponível nos locatários do Azure China por padrão e é necessária para a Proteção de Informações do Azure. Crie essa entidade de serviço manualmente por meio do módulo Azure Az PowerShell.

1. Se você não tiver o módulo Azure Az instalado, instale-o ou use um recurso em que o módulo Azure Az venha pré-instalado, como o Azure Cloud Shell. Para saber mais, confira Instalar o módulo Az PowerShell do Azure.

2. Conecte-se ao serviço usando o cmdlet Connect-AzAccount e o nome do ambiente azurechinacloud:

   Connect-azaccount -environmentname azurechinacloud
   

3. Crie a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft manualmente usando o cmdlet New-AzADServicePrincipal e a ID do aplicativo 870c4f2e-85b6-4d43-bdda-6ed9a579b725 para o Serviço de Sincronização da Proteção de Informações do Microsoft Purview:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. Depois de adicionar a entidade de serviço, adicione as permissões relevantes necessárias ao serviço.

Etapa 3: configurar a criptografia DNS

Para que a criptografia funcione corretamente, os aplicativos cliente do Office devem se conectar à instância da China do serviço e inicializar a partir daí. Para redirecionar aplicativos cliente para a instância de serviço correta, o administrador de locatários deve configurar um registro SRV DNS com informações sobre a URL do Azure RMS. Sem o registro SRV DNS, o aplicativo cliente tentará se conectar à instância de nuvem pública por padrão e falhará.

Além disso, pressupõe-se que os usuários farão logon com o nome de usuário baseado no domínio de propriedade do locatário (por exemplo: joe@contoso.cn), e não o nome de usuário onmschina (por exemplo: joe@contoso.onmschina.cn). O nome de domínio do nome de usuário é usado para redirecionamento de DNS para a instância de serviço correta.

Configurar a criptografia DNS - Windows

1. Obtenha a ID do RMS:

   1. Inicie o PowerShell como um administrador.
   2. Se o módulo AIPService não estiver instalado, execute Install-Module AipService.
   3. Conecte-se ao serviço usando Connect-AipService -environmentname azurechinacloud.
   4. Execute (Get-AipServiceConfiguration).RightsManagementServiceId para obter a ID do RMS.

2. Faça logon no provedor de DNS, navegue até as configurações de DNS do domínio e adicione um novo registro SRV.

   • Serviço = _rmsredir
   • Protocolo = _http
   • Nome = _tcp
   • Destino = [GUID].rms.aadrm.cn (onde GUID é a ID do RMS)
   • Prioridade, Peso, Segundos, TTL = valores padrão

3. Associe o Custom Domain ao locatário no portal do Azure. Isso adicionará uma entrada no DNS, que pode levar vários minutos para ser verificada depois que você adicionar o valor às configurações de DNS.

4. Faça logon no Centro de administração do Microsoft 365 com as credenciais de administrador global correspondentes e adicione o domínio (por exemplo, contoso.cn) para a criação do usuário. No processo de verificação, podem ser necessárias alterações adicionais no DNS. Uma vez que a verificação é feita, os usuários podem ser criados.

Configurar a criptografia DNS - Mac, iOS, Android

Faça logon no provedor de DNS, navegue até as configurações de DNS do domínio e adicione um novo registro SRV.

• Serviço = _rmsdisco
• Protocolo = _http
• Nome = _tcp
• Destino = api.aadrm.cn
• Porta = 80
• Prioridade, Peso, Segundos, TTL = valores padrão

Etapa 4: instalar e configurar o cliente de rotulagem unificada da AIP

Faça download e instale o cliente de etiquetagem unificada AIP do Centro de Download da Microsoft.

Para saber mais, veja:

• Documentação da AIP
• Histórico de versões da AIP e política de suporte
• Requisitos do sistema da AIP
• Início rápido da AIP: implantar o cliente da AIP
• Guia do Administrador da AIP
• Guia do usuário da AIP
• Saiba mais sobre rótulos de confidencialidade

Etapa 5: configurar aplicativos da AIP no Windows

Os aplicativos AIP no Windows precisam da seguinte chave do registro para apontá-las para a nuvem soberana correta no Azure China:

• Nó do Registro = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Nome = CloudEnvType
• Valor = 6 (padrão = 0)
• Digite = REG_DWORD

Importante

Lembre-se de não excluir a chave do Registro após uma desinstalação. Se a chave estiver vazia, incorreta ou não existir, a funcionalidade se comportará como o valor padrão (valor padrão = 0 para a nuvem comercial). Se a chave estiver vazia ou incorreta, um erro de impressão também será adicionado ao log.

Etapa 6: instalar o scanner de proteção de informações e gerenciar trabalhos de digitalização de conteúdo

Instale o scanner de Proteção de Informações do Microsoft Purview para verificar sua rede e compartilhamentos de conteúdo em busca de dados confidenciais e para aplicar rótulos de classificação e proteção conforme configurado na política da organização.

Ao configurar e gerenciar seus trabalhos de digitalização de conteúdo, use o procedimento a seguir em vez do portal de conformidade do Microsoft Purview usado pelas ofertas comerciais.

Para obter mais informações, confira Saiba mais sobre o scanner de proteção de informações e Gerenciar os trabalhos de digitalização de conteúdo usando somente o PowerShell.

Para instalar e configurar o scanner:

1. Inicie a sessão no computador com o Windows Server que executará o scanner. Use uma conta que tenha direitos de administrador local e que tenha permissões de gravação no banco de dados mestre do SQL Server.

2. Comece com o PowerShell fechado. Se você tiver instalado anteriormente o cliente da AIP e o scanner, certifique-se de que o serviço AIPScanner esteja parado.

3. Abra uma sessão do Windows PowerShell com a opção Executar como administrador.

4. Execute o cmdlet Install-AIPScanner, especificando sua instância do SQL Server na qual criar um banco de dados para o scanner da Proteção de Informações do Azure e um nome significativo para o cluster do scanner.

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Dica

   Você pode usar o mesmo nome de cluster no comando Install-AIPScanner para associar vários nós de scanner ao mesmo cluster. O uso do mesmo cluster para vários nós de scanner permite que vários scanners trabalhem juntos para executar as varreduras.

5. Verifique se agora o serviço está instalado usando Ferramentas Adminstrativas>Serviços.

   O serviço instalado é nomeado scanner de Proteção de Informações do Azure e é configurado para ser executado usando a conta de serviço do scanner que você criou.

6. Obtenha um token do Azure para usar com seu scanner. Um token do Microsoft Entra permite que o scanner se autentique no serviço Proteção de Informações do Azure e possa ser executado de forma não interativa.

   1. Abra o portal do Azure e crie um aplicativo do Microsoft Entra para especificar um token de acesso para autenticação. Para obter mais informações, confira Como rotular arquivos de forma não interativa para a Proteção de Informações do Azure.

      Dica

      Ao criar e configurar aplicativos do Microsoft Entra para o comando Set-AIPAuthentication, o painel Solicitar permissões da API mostra a guia APIs que minha organização usa em vez da guia APIs da Microsoft. Selecione a opção as APIs que minha organização usa para selecionar os serviços Azure Rights Management.

   2. No computador Windows Server, se a sua conta de serviço do scanner tiver recebido o direito de Fazer logon localmente para a instalação, entre com essa conta e inicie uma sessão do PowerShell.

      Se não for possível conceder à sua conta de serviço de scanner o direito de Fazer logon localmente para a instalação, use o parâmetro OnBehalfOf com Set-AIPAuthentication, conforme descrito em Como rotular arquivos de forma não interativa para a Proteção de Informações do Azure.

   3. Execute Set-AIPAuthentication, especificando os valores copiados do aplicativo Microsoft Entra:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Por exemplo:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Agora, o scanner tem um token para autenticar-se no Microsoft Entra ID. Esse token é válido por um ano, dois anos ou nunca, de acordo com a configuração do segredo do cliente do aplicativo Web /API no Microsoft Entra ID. Você deve repetir esse procedimento quando o token expirar.

7. Execute o cmdlet Set-AIPScannerConfiguration para definir o scanner para funcionar no modo offline. Correr:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Execute o cmdlet Set-AIPScannerContentScanJob para criar um trabalho de digitalização de conteúdo padrão.

   O único parâmetro necessário no cmdlet Set-AIPScannerContentScanJob é Enforce. No entanto, convém definir outras configurações para seu trabalho de digitalização de conteúdo no momento. Por exemplo:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   A sintaxe acima define as seguintes configurações enquanto você continua a configuração:

   • Mantém o agendamento de execução do scanner para manual
   • Define os tipos de informações a serem descobertos com base na política de rótulo de confidencialidade
   • Não impõe uma política de rótulo de confidencialidade
   • Rotula automaticamente os arquivos com base no conteúdo, usando o rótulo padrão definido para a política de rótulo de confidencialidade
   • Não permite rotular novamente os arquivos
   • Preserva os detalhes do arquivo durante a digitalização e a rotulagem automática, incluindo os valores de data de modificação, última modificação e modificado por
   • Define o scanner para excluir arquivos .msg e .tmp durante a execução
   • Define o proprietário padrão para a conta que você deseja usar ao executar o scanner

9. Use o cmdlet Add-AIPScannerRepository para definir os repositórios que você deseja verificar em seu trabalho de digitalização de conteúdo. Por exemplo, execute:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Use uma das seguintes sintaxes, dependendo do tipo de repositório que você está adicionando:

   • Para um compartilhamento de rede, use \\Server\Folder.
   • Para uma biblioteca do SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Para um caminho local: C:\Folder
   • Para um caminho UNC: \\Server\Folder

   Observação

   Não há suporte para recursos de curinga e para locais WebDav.

   Para modificar o repositório posteriormente, use o cmdlet Set-AIPScannerRepository.

Continue com as seguintes etapas, conforme necessário:

• Executar um ciclo de descoberta e exibir relatórios para o scanner
• Usar o PowerShell para configurar o scanner para aplicar classificação e proteção
• Usar o PowerShell para configurar uma política DLP com o scanner

A tabela a seguir lista cmdlets do PowerShell que são relevantes para instalar o scanner e gerenciar seus trabalhos de digitalização de conteúdo:

Cmdlet	Descrição
Add-AIPScannerRepository	Adiciona um novo repositório ao trabalho de digitalização de conteúdo.
Get-AIPScannerConfiguration	Retorna detalhes sobre o cluster.
Get-AIPScannerContentScanJob	Obtém detalhes sobre o trabalho de digitalização de conteúdo.
Get-AIPScannerRepository	Obtém detalhes sobre repositórios definidos para o trabalho de digitalização de conteúdo.
Remove-AIPScannerContentScanJob	Exclui o trabalho de digitalização de conteúdo.
Remove-AIPScannerRepository	Remove um repositório do trabalho de digitalização de conteúdo.
Set-AIPScannerContentScanJob	Define as configurações do trabalho de digitalização de conteúdo.
Set-AIPScannerRepository	Define as configurações de um repositório existente em seu trabalho de digitalização de conteúdo.

Para saber mais, veja:

• Saiba mais sobre o scanner de proteção de informações
• Como configurar e instalar a verificação de proteção de informações
• Gerenciar seus trabalhos de digitalização de conteúdo usando somente o PowerShell