Descrição do Serviço Governamental Premium da Proteção de Informações do Azure
Nota
Para fornecer uma experiência de cliente unificada e simplificada, o cliente clássico da Proteção de Informações do Azure e o Gerenciamento de Rótulos no Portal do Azure foram preteridos para clientes GCC, GCC-H e DoD a partir de 31 de setembro de 2021.
O cliente clássico será oficialmente aposentado, e deixará de funcionar, em 31 de março de 2022.
Todos os clientes atuais do cliente clássico do Azure Information Protection devem migrar para a plataforma de etiquetagem unificada do Microsoft Purview Information Protection e atualizar para o cliente de etiquetagem unificada. Saiba mais no nosso blog sobre migração.
Como usar esta Descrição do Serviço
A rotulagem unificada da Proteção de Informações do Azure está disponível para clientes GCC, GCC High e DoD.
A Descrição do Serviço Governamental Premium da Proteção de Informações do Azure foi projetada para servir como uma visão geral de nossa oferta nos ambientes GCC High e DoD e cobrirá variações de recursos em comparação com as ofertas comerciais do Azure Information Protection Premium.
Azure Information Protection Premium Government e serviços de terceiros
Alguns serviços do Azure Information Protection Premium oferecem a capacidade de trabalhar perfeitamente com aplicativos e serviços de terceiros.
Esses aplicativos e serviços de terceiros podem envolver o armazenamento, a transmissão e o processamento do conteúdo do cliente da sua organização em sistemas de terceiros que estão fora da infraestrutura do Azure Information Protection Premium e, portanto, não são cobertos por nossos compromissos de conformidade e proteção de dados.
Certifique-se de revisar as declarações de privacidade e conformidade fornecidas por terceiros ao avaliar o uso apropriado desses serviços para sua organização.
Paridade com as ofertas comerciais premium da Proteção de Informações do Azure
Para obter informações sobre lacunas existentes conhecidas entre o Azure Information Protection Premium GCC High/DoD e a oferta comercial, consulte a disponibilidade do recurso Cloud para clientes do governo dos EUA para a Proteção de Informações do Azure.
Configurando a Proteção de Informações do Azure para clientes do GCC High e DoD
Os detalhes de configuração a seguir são relevantes para todas as soluções de Proteção de Informações do Azure para clientes GCC High e DoD, incluindo soluções de rotulagem unificadas.
- Habilitar o Rights Management para o locatário
- Configuração de DNS para criptografia (Windows)
- Configuração de DNS para encriptação (Mac, iOS, Android)
- Migração de rótulos
- Configuração de aplicativos AIP
Importante
A partir da atualização de julho de 2020, todos os novos clientes do GCC High da solução de rotulagem unificada da Proteção de Informações do Azure podem usar apenas os recursos do menu Geral e do menu Scanner.
Habilitar o Rights Management para o locatário
Para que a criptografia funcione corretamente, o Serviço Rights Management deve estar habilitado para o locatário.
- Verificar se o serviço Rights Management está ativado
- Iniciar o PowerShell como administrador
- Execute
Install-Module aadrmse o módulo AADRM não estiver instalado - Conectar-se ao serviço usando
Connect-aadrmservice -environmentname azureusgovernment - Execute
(Get-AadrmConfiguration).FunctionalStatee verifique se o estado éEnabled
- Se o estado funcional for
Disabled, executeEnable-Aadrm
Configuração de DNS para criptografia (Windows)
Para que a criptografia funcione corretamente, os aplicativos cliente do Office devem se conectar à instância GCC, GCC High/DoD do serviço e inicializar a partir daí. Para redirecionar aplicativos cliente para a instância de serviço correta, o administrador do locatário deve configurar um registro SRV DNS com informações sobre a URL do Azure RMS. Sem o registro SRV DNS, o aplicativo cliente tentará se conectar à instância de nuvem pública por padrão e falhará.
Além disso, a suposição é que os usuários farão login com o nome de usuário baseado no domínio de propriedade do locatário (por exemplo: ), e não com o nome de usuário onmicrosoft (por exemplo: joe@contoso.usjoe@contoso.onmicrosoft.us). O nome de domínio do nome de usuário é usado para redirecionamento de DNS para a instância de serviço correta.
- Obter o ID do Serviço Rights Management
- Iniciar o PowerShell como administrador
- Se o módulo AADRM não estiver instalado, execute
Install-Module aadrm - Conectar-se ao serviço usando
Connect-aadrmservice -environmentname azureusgovernment - Executar
(Get-aadrmconfiguration).RightsManagementServiceIdpara obter a ID do Serviço Rights Management
- Entre no seu provedor de DNS e navegue até as configurações de DNS do domínio para adicionar um novo registro SRV
- Serviço =
_rmsredir - Protocolo =
_http - Nome =
_tcp - Destino =
[GUID].rms.aadrm.us(onde GUID é o ID do Serviço Rights Management) - Porta =
80 - Prioridade, Peso, Segundos, TTL = valores padrão
- Serviço =
- Associe o domínio personalizado ao locatário no portal do Azure. Associar o domínio personalizado adicionará uma entrada no DNS, que pode levar alguns minutos para verificar depois de adicionar o valor.
- Entre no Office Admin Center com as credenciais de administrador global correspondentes e adicione o domínio (exemplo: contoso.us) para a criação do usuário. No processo de verificação, mais algumas alterações de DNS podem ser necessárias. Uma vez feita a verificação, os usuários podem ser criados.
Configuração de DNS para encriptação (Mac, iOS, Android)
- Entre no seu provedor de DNS e navegue até as configurações de DNS do domínio para adicionar um novo registro SRV
- Serviço =
_rmsdisco - Protocolo =
_http - Nome =
_tcp - Público-alvo =
api.aadrm.us - Porta =
80 - Prioridade, Peso, Segundos, TTL = valores padrão
- Serviço =
Migração de rótulos
Os clientes do GCC High e do DoD precisam migrar todos os rótulos existentes usando o PowerShell. Os métodos tradicionais de migração AIP não são aplicáveis para clientes GCC High e DoD.
Use o cmdlet New-Label para migrar seus rótulos de sensibilidade existentes. Certifique-se de seguir as instruções para conectar e executar o cmdlet usando o Security & Compliance Center antes de começar a migração.
Exemplo de migração quando um rótulo de sensibilidade existente tem criptografia:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
Configuração de aplicativos AIP
Ao trabalhar com o cliente do Azure Information Protection, você deve configurar uma das seguintes chaves do Registro para apontar seus aplicativos AIP no Windows para a nuvem soberana correta. Certifique-se de usar os valores corretos para sua configuração.
- Configuração de aplicativos AIP para o cliente de etiquetagem unificado
- Configuração de aplicativos AIP para o cliente clássico
Configuração de aplicativos AIP para o cliente de etiquetagem unificado
Relevante para: Somente o cliente de etiquetagem unificada AIP
| Nó do Registro | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Nome | CloudEnvType |
| Valor | 0 = Comercial (padrão) 1 = CCG 2 = CCG Alto 3 = DoD |
| Tipo | REG_DWORD |
Nota
- Se essa chave do Registro estiver vazia, incorreta ou ausente, o comportamento será revertido para o padrão (0 = Comercial).
- Se a chave estiver vazia ou incorreta, um erro de impressão também será adicionado ao log.
- Certifique-se de não excluir a chave do Registro após a desinstalação.
Configuração de aplicativos AIP para o cliente clássico
Relevante para: Apenas o cliente clássico AIP
| Nó do Registro | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Nome | WebServiceUrl |
| Valor | https://api.informationprotection.azure.us |
| Tipo | REG_SZ (String) |
Firewalls e infraestrutura de rede
Se você tiver um firewall ou dispositivos de rede intervenientes semelhantes configurados para permitir conexões específicas, use as configurações a seguir para garantir uma comunicação suave para a Proteção de Informações do Azure.
Conexão cliente-a-serviço TLS: Não encerre a conexão cliente-a-serviço TLS para a URL rms.aadrm.us (por exemplo, para executar a inspeção no nível do pacote).
Você pode usar os seguintes comandos do PowerShell para ajudá-lo a determinar se sua conexão de cliente será encerrada antes de chegar ao serviço Azure Rights Management:
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerO resultado deve mostrar que a autoridade de certificação emissora é de uma autoridade de certificação da Microsoft, por exemplo:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Se vir um nome de AC emissora que não seja da Microsoft, é provável que a sua ligação segura cliente-a-serviço esteja a ser terminada e necessite de ser reconfigurada na firewall.Transferir etiquetas e políticas de etiquetas (apenas cliente clássico AIP): para permitir que o cliente clássico da Proteção de Informações do Azure transfira etiquetas e políticas de etiquetas, permita que o URL api.informationprotection.azure.us através de HTTPS.
Para obter mais informações, consulte:
- Pontos de extremidade do Office 365 U.S. Government DoD
- Office 365 Governo dos EUA GCC High endpoints
Etiquetas de Serviço
Certifique-se de permitir o acesso a todas as portas para as seguintes etiquetas de serviço:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend