Защита информации Microsoft Purview для Office 365 под управлением 21Vianet

В этой статье рассматриваются различия между Защита информации Microsoft Purview поддержкой Office 365, управляемой 21Vianet и коммерческими предложениями, которые ограничены предложением, ранее известным как Azure Information Protection (AIP), а также конкретными инструкциями по настройке для клиентов в Китае, включая установку сканера защиты информации и управление заданиями сканирования содержимого.

Различия между 21Vianet и коммерческими предложениями

Хотя наша цель состоит в том, чтобы обеспечить все коммерческие функции и функциональные возможности для клиентов в Китае с помощью нашей Защита информации Microsoft Purview поддержки Office 365, управляемой предложением 21Vianet, есть некоторые отсутствующие функции:

• шифрование службы Active Directory Rights Management (AD RMS) поддерживается только в Приложения Microsoft 365 для предприятий (сборка 11731.10000 или более поздняя версия). Office профессиональный плюс не поддерживает AD RMS.

• Миграция из AD RMS в AIP в настоящее время недоступна.

• Поддерживается совместное использование защищенных сообщений электронной почты с пользователями в коммерческом облаке.

• Общий доступ к документам и вложениям электронной почты пользователям в коммерческом облаке в настоящее время недоступен. Сюда входят пользователи Office 365, управляемые пользователями 21Vianet в коммерческом облаке, отличные от Office 365, управляемые пользователями 21Vianet в коммерческом облаке, и пользователи с лицензией RMS для частных лиц.

• В настоящее время IRM с SharePoint (защищенные IRM-сайты и библиотеки) недоступны.

• Расширение мобильных устройств для AD RMS в настоящее время недоступно.

• Mobile Viewer не поддерживается Azure China 21Vianet.

• Область проверки портала соответствия недоступна клиентам в Китае. Используйте команды PowerShell вместо выполнения действий на портале, таких как управление и выполнение заданий сканирования содержимого.

• Сетевые конечные точки для клиента Защита информации Microsoft Purview в среде 21Vianet отличаются от конечных точек, необходимых для других облачных служб. Требуется сетевое подключение от клиентов к следующим конечным точкам:

  • Скачайте политики меток и меток: *.protection.partner.outlook.cn
  • Служба Azure Rights Management: *.aadrm.cn

• отслеживание документов и отзыв пользователей в настоящее время недоступны.

Конфигурация для клиентов в 21Vianet

Чтобы настроить Защита информации Microsoft Purview поддержку Office 365 под управлением 21Vianet:

1. Включите управление правами для клиента.

2. Добавьте субъект-службу службы синхронизации Microsoft Information Protection.

3. Настройка шифрования DNS.

4. Установите и настройте клиент Защита информации Microsoft Purview.

5. Настройка параметров Windows.

6. Установите средство проверки защиты информации и управляйте заданиями сканирования содержимого.

Шаг 1. Включение управления правами для клиента

Чтобы шифрование работало правильно, служба управления правами (RMS) должна быть включена для клиента.

1. Проверьте, включена ли служба RMS:

   1. Запустите PowerShell от имени администратора.
   2. Если модуль AIPService не установлен, выполните команду Install-Module AipService.
   3. Импорт модуля с помощью Import-Module AipService.
   4. Подключение в службу с помощью Connect-AipService -environmentname azurechinacloud.
   5. Запустите (Get-AipServiceConfiguration).FunctionalState и проверка, если состояние равноEnabled.

2. Если функциональное состояние равно Disabled, выполните команду Enable-AipService.

Шаг 2. Добавление субъекта-службы синхронизации Microsoft Information Protection

Субъект-служба службы синхронизации Microsoft Information Protection недоступна в клиентах Китая Azure по умолчанию и требуется для Azure Information Protection. Создайте этот субъект-службу вручную с помощью модуля Azure Az PowerShell.

1. Если у вас нет установленного модуля Azure Az, установите его или используйте ресурс, в котором модуль Azure Az будет предварительно установлен, например Azure Cloud Shell. Дополнительные сведения см. в статье Установка модуля Azure Az PowerShell.

2. Подключение в службу с помощью командлета Подключение-AzAccount и azurechinacloud имени среды:

   Connect-azaccount -environmentname azurechinacloud
   

3. Создайте субъект-службу службы синхронизации Microsoft Information Protection вручную с помощью командлета New-AzADServicePrincipal и 870c4f2e-85b6-4d43-bdda-6ed9a579b725 идентификатора приложения для службы синхронизации Защита информации Microsoft Purview:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. После добавления субъекта-службы добавьте соответствующие разрешения, необходимые для службы.

Шаг 3. Настройка шифрования DNS

Чтобы шифрование работало правильно, клиентские приложения Office должны подключаться к экземпляру службы и начальной загрузке оттуда. Чтобы перенаправить клиентские приложения в правильный экземпляр службы, администратор клиента должен настроить запись DNS SRV с информацией о URL-адресе Azure RMS. Без записи SRV DNS клиентское приложение попытается подключиться к общедоступному облачному экземпляру по умолчанию и завершится ошибкой.

Кроме того, предполагается, что пользователи будут входить с помощью имени пользователя, основанного на домене клиента (например, joe@contoso.cn), а не onmschina имени пользователя (например, joe@contoso.onmschina.cn). Имя домена из имени пользователя используется для перенаправления DNS в правильный экземпляр службы.

Настройка шифрования DNS в Windows

1. Получите идентификатор RMS:

   1. Запустите PowerShell от имени администратора.
   2. Если модуль AIPService не установлен, выполните команду Install-Module AipService.
   3. Подключение в службу с помощью Connect-AipService -environmentname azurechinacloud.
   4. Выполните команду (Get-AipServiceConfiguration).RightsManagementServiceId , чтобы получить идентификатор RMS.

2. Войдите в поставщик DNS, перейдите к параметрам DNS для домена и добавьте новую запись SRV.

   • Служба = _rmsredir
   • Протокол = _http
   • Name = _tcp
   • Target = [GUID].rms.aadrm.cn (где GUID является идентификатором RMS)
   • Приоритет, вес, секунды, TTL = значения по умолчанию

3. Свяжите личный домен с клиентом в портал Azure. Это добавит запись в DNS, которая может занять несколько минут, чтобы провериться после добавления значения в параметры DNS.

4. Войдите в Центр администрирования Microsoft 365 с соответствующими учетными данными глобального администратора и добавьте домен (например, contoso.cn) для создания пользователя. В процессе проверки могут потребоваться дополнительные изменения DNS. После завершения проверки пользователи могут быть созданы.

Настройка шифрования DNS — Mac, iOS, Android

Войдите в поставщик DNS, перейдите к параметрам DNS для домена и добавьте новую запись SRV.

• Служба = _rmsdisco
• Протокол = _http
• Name = _tcp
• Target = api.aadrm.cn
• Порт = 80
• Приоритет, вес, секунды, TTL = значения по умолчанию

Шаг 4. Установка и настройка клиента маркировки

Скачайте и установите клиент Защита информации Microsoft Purview из Центра загрузки Майкрософт.

Дополнительные сведения см. в разделе:

• Расширение меток конфиденциальности в Windows
• клиент Защита информации Microsoft Purview — управление выпусками и возможность поддержки

Шаг 5. Настройка параметров Windows

Windows должен иметь следующий раздел реестра для проверки подлинности, чтобы указать правильное независимое облако для Azure Для Китая:

• Узел реестра = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Name = CloudEnvType
• Значение = (по умолчанию = 6 0)
• Тип = REG_DWORD

Внимание

Не удаляйте раздел реестра после удаления. Если ключ пуст, неверный или несуществующий, функция будет вести себя как значение по умолчанию (значение по умолчанию = 0 для коммерческого облака). Если ключ пуст или неправильно, в журнал также добавляется ошибка печати.

Шаг 6. Установка сканера защиты информации и управление заданиями сканирования содержимого

Установите сканер Защита информации Microsoft Purview для проверки общих папок сети и содержимого для конфиденциальных данных, а также применения меток классификации и защиты, как указано в политике вашей организации.

При настройке заданий сканирования контента и управлении ими используйте следующую процедуру вместо Портал соответствия требованиям Microsoft Purview, которая используется коммерческими предложениями.

Дополнительные сведения см. в статье "Сведения о сканере защиты информации" и управлении заданиями сканирования содержимого только с помощью PowerShell.

Чтобы установить и настроить сканер, выполните приведенные ниже действия.

1. Войдите на компьютер Windows Server, на котором будет запущен сканер. Используйте учетную запись с правами локального администратора и имеет разрешения на запись в базу данных master SQL Server.

2. Начните с закрытия PowerShell. Если вы ранее установили сканер защиты информации, убедитесь, что служба сканера Защита информации Microsoft Purview остановлена.

3. Откройте сеанс Windows PowerShell с параметром запуска от имени администратора .

4. Запустите командлет Install-Scanner, указав экземпляр SQL Server для создания базы данных для сканера Защита информации Microsoft Purview и понятное имя кластера сканера.

   Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Совет

   Одно и то же имя кластера можно использовать в команде Install-Scanner для связывания нескольких узлов сканера с тем же кластером. Использование одного кластера для нескольких узлов сканера позволяет нескольким сканерам работать вместе для выполнения проверок.

5. Убедитесь, что служба установлена с помощью служб Администратор istrative Tools>Services.

   Установленная служба называется Защита информации Microsoft Purview сканером и настроена для запуска с помощью созданной учетной записи службы проверки.

6. Получите маркер Azure для использования с сканером. Маркер Microsoft Entra позволяет сканеру проходить проверку подлинности в службе Azure Information Protection, что позволяет сканеру работать неинтерактивно.

   1. Откройте портал Azure и создайте приложение Microsoft Entra, чтобы указать маркер доступа для проверки подлинности. Дополнительные сведения см. в статье Как помечать файлы в неинтерактивном режиме для Azure Information Protection.

      Совет

      При создании и настройке приложений Microsoft Entra для команды Set-Authentication в области разрешений API запросов отображаются вкладка "API, которые моя организация использует вкладку" вместо вкладки "API Майкрософт". Выберите API, которые моя организация использует для выбора служб Управления правами Azure.

   2. На компьютере Windows Server, если учетная запись службы сканера была предоставлена локально для установки, войдите с помощью этой учетной записи и запустите сеанс PowerShell.

      Если учетная запись службы сканера не может быть предоставлена локальному входу для установки, используйте параметр OnBehalfOf с set-Authentication, как описано в разделе "Как пометить файлы, неинтерактивно для Azure Information Protection".

   3. Запустите проверку подлинности Set-Authentication, указав значения, скопированные из приложения Microsoft Entra:

   Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Например:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Теперь сканер имеет маркер для проверки подлинности в идентификаторе Microsoft Entra. Этот маркер действителен в течение одного года, двух лет или никогда, в соответствии с конфигурацией секрета клиента веб-приложения /API в идентификаторе Microsoft Entra. По истечении срока действия маркера необходимо повторить эту процедуру.

7. Запустите командлет Set-ScannerConfiguration, чтобы задать сканеру функцию в автономном режиме. Запустить:

   Set-ScannerConfiguration -OnlineConfiguration Off
   

8. Выполните командлет Set-ScannerContentScanJob, чтобы создать задание сканирования содержимого по умолчанию.

   Единственным обязательным параметром в командлете Set-ScannerContentScanJob является Применение. Однако в настоящее время может потребоваться определить другие параметры для задания сканирования содержимого. Например:

   Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   Приведенный выше синтаксис настраивает следующие параметры при продолжении настройки:

   • Сохраняет расписание выполнения сканера вручную
   • Задает типы сведений, обнаруженные на основе политики меток конфиденциальности
   • Не применяет политику маркировки конфиденциальности
   • Автоматически метки файлов на основе содержимого с помощью метки по умолчанию, определенной для политики меток конфиденциальности.
   • Не разрешает переназначение файлов
   • Сохраняет сведения о файле при сканировании и автоматической маркировке, включая дату изменения, последнее изменение и изменение значений
   • Задает сканеру исключение .msg и .tmp файлов при выполнении
   • Задает владельца по умолчанию учетной записи, которую вы хотите использовать при запуске сканера.

9. Используйте командлет Add-ScannerRepository, чтобы определить репозитории, которые вы хотите сканировать в задании сканирования содержимого. Вот пример команды для запуска:

   Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Используйте один из следующих синтаксисов в зависимости от типа добавляемого репозитория:

   • Для сетевого ресурса используйте \\Server\Folder.
   • Для библиотеки SharePoint используйте http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Для локального пути: C:\Folder
   • Для пути UNC: \\Server\Folder

   Примечание.

   Wild карта не поддерживаются, а расположения WebDav не поддерживаются.

   Чтобы изменить репозиторий позже, используйте вместо этого командлет Set-ScannerRepository .

При необходимости выполните следующие действия.

• Выполнение цикла обнаружения и просмотр отчетов для средства проверки
• Использование PowerShell для настройки сканера для применения классификации и защиты
• Настройка политики защиты от потери данных с помощью сканера с помощью PowerShell

В следующей таблице перечислены командлеты PowerShell, относящиеся к установке сканера и управлению заданиями сканирования содержимого:

Командлет	Description
Add-ScannerRepository	Добавляет новый репозиторий в задание сканирования содержимого.
Get-ScannerConfiguration	Возвращает сведения о кластере.
Get-ScannerContentScan	Возвращает сведения о задании сканирования содержимого.
Get-ScannerRepository	Возвращает сведения о репозиториях, определенных для задания сканирования содержимого.
Remove-ScannerContentScan	Удаляет задание сканирования содержимого.
Remove-ScannerRepository	Удаляет репозиторий из задания проверки содержимого.
Set-ScannerContentScan	Определяет параметры задания сканирования содержимого.
Set-ScannerRepository	Определяет параметры для существующего репозитория в задании сканирования содержимого.

Дополнительные сведения см. в разделе:

• Сведения о сканере защиты информации
• Настройка и установка сканера защиты информации
• Управление заданиями сканирования содержимого с помощью PowerShell только