Описание службы Azure Information Protection Premium для государственных организаций
Примечание.
Чтобы обеспечить единый и упрощенный интерфейс клиента, классический клиент Azure Information Protection и управление метками на портале Azure устарели для клиентов GCC, GCC-H и DoD с 31 сентября 2021 года.
Поддержка классического клиента будет официально прекращена, и он перестанет работать 31 марта 2022 г.
Все текущие клиенты классического клиента Azure Information Protection должны перейти на платформу унифицированных меток Защита информации Microsoft Purview и перейти к клиенту унифицированных меток. Дополнительные сведения см. в блоге по миграции.
Как использовать это описание службы
Унифицированные метки Azure Information Protection доступны для клиентов GCC, GCC High и DoD.
Описание службы Azure Information Protection Premium для государственных организаций предназначено для использования в качестве обзора нашего предложения в средах GCC High и DoD и будет охватывать варианты функций по сравнению с коммерческими предложениями Azure Information Protection Premium.
Azure Information Protection Premium для государственных организаций и сторонних служб
Некоторые службы Azure Information Protection Premium предоставляют возможность эффективно работать с сторонними приложениями и службами.
Эти сторонние приложения и службы могут включать хранение, передачу и обработку содержимого клиента вашей организации на сторонних системах, которые находятся за пределами инфраструктуры Azure Information Protection Premium, и поэтому не охватываются нашими обязательствами по обеспечению соответствия требованиям и защите данных.
Убедитесь, что вы просматриваете заявления о конфиденциальности и соответствии требованиям, предоставляемые третьими сторонами при оценке надлежащего использования этих служб для вашей организации.
Паритетность с коммерческими предложениями Azure Information Protection уровня "Премиум"
Сведения о известных существующих пробелах между Azure Information Protection Premium GCC High/DoD и коммерческим предложением см. в статье о доступности облачных функций для клиентов для государственных организаций США для Azure Information Protection.
Настройка Azure Information Protection для клиентов GCC High и DoD
Следующие сведения о конфигурации относятся ко всем решениям Azure Information Protection для клиентов GCC High и DoD, включая унифицированные решения по маркировке.
- Включение Rights Management для клиента
- Конфигурация DNS для шифрования (Windows)
- Конфигурация DNS для шифрования (Mac, iOS, Android)
- Миграция меток
- Настройка приложений AIP
Важно!
По состоянию на обновление за июль 2020 г. все новые клиенты GCC High в решении унифицированных меток Azure Information Protection могут использовать только общие меню и функции меню сканера.
Включение Rights Management для клиента
Чтобы шифрование работало правильно, служба Rights Management должна быть включена для клиента.
- Проверьте, включена ли служба Rights Management
- Запуск PowerShell в качестве Администратор istrator
- Запуск
Install-Module aadrm, если модуль AADRM не установлен - Подключение для обслуживания
Connect-aadrmservice -environmentname azureusgovernment - Запуск
(Get-AadrmConfiguration).FunctionalStateи проверка, если состояние равноEnabled
- Если функциональное состояние равно
Disabled, выполните командуEnable-Aadrm
Конфигурация DNS для шифрования (Windows)
Чтобы шифрование работало правильно, клиентские приложения Office должны подключаться к экземпляру GCC High/DoD службы и начальной загрузки. Чтобы перенаправить клиентские приложения в правильный экземпляр службы, администратор клиента должен настроить запись DNS SRV с информацией о URL-адресе Azure RMS. Без записи SRV DNS клиентское приложение попытается подключиться к экземпляру общедоступного облака по умолчанию и завершиться ошибкой.
Кроме того, предполагается, что пользователи будут входить с именем пользователя на основе домена, принадлежащий клиенту (например, joe@contoso.us), а не имени пользователя onmicrosoft (например: joe@contoso.onmicrosoft.us). Имя домена из имени пользователя используется для перенаправления DNS в правильный экземпляр службы.
- Получение идентификатора службы Rights Management
- Запуск PowerShell в качестве Администратор istrator
- Если модуль AADRM не установлен, выполните команду
Install-Module aadrm - Подключение для обслуживания
Connect-aadrmservice -environmentname azureusgovernment - Выполните команду
(Get-aadrmconfiguration).RightsManagementServiceId, чтобы получить идентификатор службы Rights Management
- Войдите в поставщик DNS и перейдите к параметрам DNS для домена, чтобы добавить новую запись SRV.
- Служба =
_rmsredir - Протокол =
_http - Name =
_tcp - Target =
[GUID].rms.aadrm.us(где GUID является идентификатором службы Rights Management) - Порт =
80 - Приоритет, вес, секунды, TTL = значения по умолчанию
- Служба =
- Свяжите личный домен с клиентом в портал Azure. Связывание личного домена добавит запись в DNS, которая может занять несколько минут, чтобы проверить после добавления значения.
- Войдите в Центр Администратор Office с соответствующими учетными данными глобального администратора и добавьте домен (например, contoso.us) для создания пользователя. В процессе проверки могут потребоваться дополнительные изменения DNS. После завершения проверки пользователи могут быть созданы.
Конфигурация DNS для шифрования (Mac, iOS, Android)
- Войдите в поставщик DNS и перейдите к параметрам DNS для домена, чтобы добавить новую запись SRV.
- Служба =
_rmsdisco - Протокол =
_http - Name =
_tcp - Target =
api.aadrm.us - Порт =
80 - Приоритет, вес, секунды, TTL = значения по умолчанию
- Служба =
Миграция меток
Клиентам GCC High и DoD необходимо перенести все существующие метки с помощью PowerShell. Традиционные методы миграции AIP не применимы для клиентов GCC High и DoD.
Используйте командлет New-Label для миграции имеющихся меток конфиденциальности. Перед началом миграции следуйте инструкциям по подключению и выполнению командлета с помощью Центра безопасности и соответствия требованиям.
Пример миграции, когда существующая метка конфиденциальности имеет шифрование:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
Настройка приложений AIP
При работе с клиентом Azure Information Protection необходимо настроить один из следующих разделов реестра, чтобы указать приложения AIP в Windows в правильном независимом облаке. Обязательно используйте правильные значения для настройки.
- Настройка приложений AIP для клиента унифицированных меток
- Настройка приложений AIP для классического клиента
Настройка приложений AIP для клиента унифицированных меток
Применимо: только клиент унифицированных меток AIP
| Узел реестра | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Имя | CloudEnvType |
| Value | 0 = коммерческая (по умолчанию) 1 = GCC 2 = GCC High 3 = DoD |
| Тип | REG_DWORD |
Примечание.
- Если этот раздел реестра пуст, неправильно или отсутствует, поведение отменить изменения по умолчанию (0 = коммерческий).
- Если ключ пуст или неправильно, в журнал также добавляется ошибка печати.
- Не удаляйте раздел реестра после удаления.
Настройка приложений AIP для классического клиента
Применимо: только классический клиент AIP
| Узел реестра | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Имя | WebServiceUrl |
| Value | https://api.informationprotection.azure.us |
| Тип | REG_SZ (String) |
Брандмауэры и сетевая инфраструктура
Если у вас есть брандмауэр или аналогичные сетевые устройства, настроенные для разрешения определенных подключений, используйте следующие параметры, чтобы обеспечить плавное взаимодействие для Azure Information Protection.
Подключение между клиентами и службами TLS: не завершайте подключение между клиентами и службами TLS к URL-адресу rms.aadrm.us (например, для проверки уровня пакетов).
Чтобы определить, завершается ли подключение клиента до достижения службы Azure Rights Management, можно использовать следующие команды PowerShell:
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerРезультат должен показать, что выдающий ЦС находится из ЦС Майкрософт, например:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=USЕсли вы видите выдающееся имя ЦС, которое не является корпорацией Майкрософт, скорее всего, будет завершено безопасное подключение клиента к службе и необходимо перенастроить на брандмауэре.Скачивание меток и политик меток (только для классического клиента AIP): чтобы включить классический клиент Azure Information Protection для скачивания меток и политик меток, разрешить URL-адрес api.informationprotection.azure.us по протоколу HTTPS.
Дополнительные сведения см. в разделе:
- Конечные точки DoD для государственных организаций США Office 365
- Конечные точки Office 365 для государственных организаций США GCC High
Теги служб
Обязательно разрешите доступ ко всем портам для следующих тегов службы:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend