Поддержка Azure Information Protection для Office 365 под управлением 21Vianet

В этой статье рассматриваются различия между поддержкой Azure Information Protection (AIP) для Office 365, управляемой 21Vianet и коммерческими предложениями, а также конкретными инструкциями по настройке AIP для клиентов в Китае, включая установку сканера защиты информации и управление заданиями сканирования содержимого.

Различия между AIP для Office 365, управляемыми 21Vianet и коммерческими предложениями

Хотя наша цель заключается в предоставлении всех коммерческих функций и функций клиентам в Китае с помощью AIP для Office 365, управляемого предложением 21Vianet, есть некоторые отсутствующие функции, которые мы хотели бы выделить.

Ниже приведен список пробелов между AIP для Office 365, управляемыми 21Vianet и нашими коммерческими предложениями:

• шифрование службы Active Directory Rights Management (AD RMS) поддерживается только в Приложения Microsoft 365 для предприятий (сборка 11731.10000 или более поздняя версия). Office профессиональный плюс не поддерживает AD RMS.

• Миграция из AD RMS в AIP в настоящее время недоступна.

• Поддерживается совместное использование защищенных сообщений электронной почты с пользователями в коммерческом облаке.

• Общий доступ к документам и вложениям электронной почты пользователям в коммерческом облаке в настоящее время недоступен. Сюда входят пользователи Office 365, управляемые пользователями 21Vianet в коммерческом облаке, отличные от Office 365, управляемые пользователями 21Vianet в коммерческом облаке, и пользователи с лицензией RMS для частных лиц.

• В настоящее время IRM с SharePoint (защищенные IRM-сайты и библиотеки) недоступны.

• Расширение мобильных устройств для AD RMS в настоящее время недоступно.

• Mobile Viewer не поддерживается Azure China 21Vianet.

• Область проверки портала соответствия недоступна клиентам в Китае. Используйте команды PowerShell вместо выполнения действий на портале, таких как управление и выполнение заданий сканирования содержимого.

• Конечные точки AIP в Office 365, управляемые 21Vianet, отличаются от конечных точек, необходимых для других облачных служб. Требуется сетевое подключение от клиентов к следующим конечным точкам:

  • Скачайте политики меток и меток: *.protection.partner.outlook.cn
  • Служба Azure Rights Management: *.aadrm.cn

• отслеживание документов и отзыв пользователей в настоящее время недоступны.

Настройка AIP для клиентов в Китае

Чтобы настроить AIP для клиентов в Китае, выполните приведенные ниже действия.

1. Включите управление правами для клиента.

2. Добавьте субъект-службу службы синхронизации Microsoft Information Protection.

3. Настройка шифрования DNS.

4. Установите и настройте клиент унифицированных меток AIP.

5. Настройка приложений AIP в Windows.

6. Установите средство проверки защиты информации и управляйте заданиями сканирования содержимого.

Шаг 1. Включение управления правами для клиента

Чтобы шифрование работало правильно, RMS необходимо включить для клиента.

1. Проверьте, включена ли служба RMS:

   1. Запустите PowerShell от имени администратора.
   2. Если модуль AIPService не установлен, выполните команду Install-Module AipService.
   3. Импорт модуля с помощью Import-Module AipService.
   4. Подключение в службу с помощью Connect-AipService -environmentname azurechinacloud.
   5. Запустите (Get-AipServiceConfiguration).FunctionalState и проверка, если состояние равноEnabled.

2. Если функциональное состояние равно Disabled, выполните команду Enable-AipService.

Шаг 2. Добавление субъекта-службы синхронизации Microsoft Information Protection

Субъект-служба службы синхронизации Microsoft Information Protection недоступна в клиентах Китая Azure по умолчанию и требуется для Azure Information Protection. Создайте этот субъект-службу вручную с помощью модуля Azure Az PowerShell.

1. Если у вас нет установленного модуля Azure Az, установите его или используйте ресурс, в котором модуль Azure Az будет предварительно установлен, например Azure Cloud Shell. Дополнительные сведения см. в статье Установка модуля Azure Az PowerShell.

2. Подключение в службу с помощью командлета Подключение-AzAccount и azurechinacloud имени среды:

   Connect-azaccount -environmentname azurechinacloud
   

3. Создайте субъект-службу службы синхронизации Microsoft Information Protection вручную с помощью командлета New-AzADServicePrincipal и 870c4f2e-85b6-4d43-bdda-6ed9a579b725 идентификатора приложения для службы синхронизации Защита информации Microsoft Purview:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. После добавления субъекта-службы добавьте соответствующие разрешения, необходимые для службы.

Шаг 3. Настройка шифрования DNS

Чтобы шифрование работало правильно, клиентские приложения Office должны подключаться к экземпляру службы и начальной загрузке оттуда. Чтобы перенаправить клиентские приложения в правильный экземпляр службы, администратор клиента должен настроить запись DNS SRV с информацией о URL-адресе Azure RMS. Без записи SRV DNS клиентское приложение попытается подключиться к общедоступному облачному экземпляру по умолчанию и завершится ошибкой.

Кроме того, предполагается, что пользователи будут входить с помощью имени пользователя, основанного на домене клиента (например, joe@contoso.cn), а не onmschina имени пользователя (например, joe@contoso.onmschina.cn). Имя домена из имени пользователя используется для перенаправления DNS в правильный экземпляр службы.

Настройка шифрования DNS в Windows

1. Получите идентификатор RMS:

   1. Запустите PowerShell от имени администратора.
   2. Если модуль AIPService не установлен, выполните команду Install-Module AipService.
   3. Подключение в службу с помощью Connect-AipService -environmentname azurechinacloud.
   4. Выполните команду (Get-AipServiceConfiguration).RightsManagementServiceId , чтобы получить идентификатор RMS.

2. Войдите в поставщик DNS, перейдите к параметрам DNS для домена и добавьте новую запись SRV.

   • Служба = _rmsredir
   • Протокол = _http
   • Name = _tcp
   • Target = [GUID].rms.aadrm.cn (где GUID является идентификатором RMS)
   • Приоритет, вес, секунды, TTL = значения по умолчанию

3. Свяжите личный домен с клиентом в портал Azure. Это добавит запись в DNS, которая может занять несколько минут, чтобы провериться после добавления значения в параметры DNS.

4. Войдите в Центр администрирования Microsoft 365 с соответствующими учетными данными глобального администратора и добавьте домен (например, contoso.cn) для создания пользователя. В процессе проверки могут потребоваться дополнительные изменения DNS. После завершения проверки пользователи могут быть созданы.

Настройка шифрования DNS — Mac, iOS, Android

Войдите в поставщик DNS, перейдите к параметрам DNS для домена и добавьте новую запись SRV.

• Служба = _rmsdisco
• Протокол = _http
• Name = _tcp
• Target = api.aadrm.cn
• Порт = 80
• Приоритет, вес, секунды, TTL = значения по умолчанию

Шаг 4. Установка и настройка клиента унифицированных меток AIP

Скачайте и установите клиент унифицированных меток AIP из Центра загрузки Майкрософт.

Дополнительные сведения см. в разделе:

• Документация по AIP
• [Журнал версий AIP и политика поддержки] ((/purview/information-protection-client-relnotes)
• Требования к системе AIP
• Краткое руководство по AIP. Развертывание клиента AIP
• Руководство администратора AIP
• Руководство пользователя AIP
• Сведения о метках конфиденциальности

Шаг 5. Настройка приложений AIP в Windows

Приложения AIP в Windows нуждаются в следующем разделе реестра, чтобы указать им правильный суверенный облако для Azure China:

• Узел реестра = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Name = CloudEnvType
• Значение = (по умолчанию = 6 0)
• Тип = REG_DWORD

Внимание

Не удаляйте раздел реестра после удаления. Если ключ пуст, неверный или несуществующий, функция будет вести себя как значение по умолчанию (значение по умолчанию = 0 для коммерческого облака). Если ключ пуст или неправильно, в журнал также добавляется ошибка печати.

Шаг 6. Установка сканера защиты информации и управление заданиями сканирования содержимого

Установите сканер Защита информации Microsoft Purview для проверки общих папок сети и содержимого для конфиденциальных данных, а также применения меток классификации и защиты, как указано в политике вашей организации.

При настройке заданий сканирования контента и управлении ими используйте следующую процедуру вместо Портал соответствия требованиям Microsoft Purview, которая используется коммерческими предложениями.

Дополнительные сведения см. в статье "Сведения о сканере защиты информации" и управлении заданиями сканирования содержимого только с помощью PowerShell.

Чтобы установить и настроить сканер, выполните приведенные ниже действия.

1. Войдите на компьютер Windows Server, на котором будет запущен сканер. Используйте учетную запись с правами локального администратора и имеет разрешения на запись в базу данных master SQL Server.

2. Начните с закрытия PowerShell. Если вы ранее установили клиент AIP и сканер, убедитесь, что служба AIPScanner остановлена.

3. Откройте сеанс Windows PowerShell с параметром запуска от имени администратора .

4. Запустите командлет Install-AIPScanner, указав экземпляр SQL Server, на котором создается база данных для сканера Azure Information Protection, и понятное имя кластера сканера.

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Совет

   Одно и то же имя кластера можно использовать в команде Install-AIPScanner для связывания нескольких узлов сканера с тем же кластером. Использование одного кластера для нескольких узлов сканера позволяет нескольким сканерам работать вместе для выполнения проверок.

5. Убедитесь, что служба установлена с помощью служб Администратор istrative Tools>Services.

   Установленная служба называется сканером Azure Information Protection и настроена для запуска с помощью созданной учетной записи службы проверки.

6. Получите маркер Azure для использования с сканером. Маркер Microsoft Entra позволяет сканеру проходить проверку подлинности в службе Azure Information Protection, что позволяет сканеру работать неинтерактивно.

   1. Откройте портал Azure и создайте приложение Microsoft Entra, чтобы указать маркер доступа для проверки подлинности. Дополнительные сведения см. в статье Как помечать файлы в неинтерактивном режиме для Azure Information Protection.

      Совет

      При создании и настройке приложений Microsoft Entra для команды Set-AIPAuthentication в области разрешений API запросов отображаются интерфейсы API, которые моя организация использует на вкладке", а не на вкладке "API Майкрософт". Выберите API, которые моя организация использует для выбора служб управления правами Azure.

   2. На компьютере Windows Server, если учетная запись службы сканера была предоставлена локально для установки, войдите с помощью этой учетной записи и запустите сеанс PowerShell.

      Если учетная запись службы сканера не может быть предоставлена локальному входу для установки, используйте параметр OnBehalfOf с Set-AIPAuthentication, как описано в разделе "Как метка файлов, неинтерактивно для Azure Information Protection".

   3. Запустите set-AIPAuthentication, указав значения, скопированные из приложения Microsoft Entra:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Например:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Теперь сканер имеет маркер для проверки подлинности в идентификаторе Microsoft Entra. Этот маркер действителен в течение одного года, двух лет или никогда, в соответствии с конфигурацией секрета клиента веб-приложения /API в идентификаторе Microsoft Entra. По истечении срока действия маркера необходимо повторить эту процедуру.

7. Выполните командлет Set-AIPScannerConfiguration, чтобы настроить сканер для работы в автономном режиме. Запустить:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Выполните командлет Set-AIPScannerContentScanJob, чтобы создать задание сканирования содержимого по умолчанию.

   Единственным обязательным параметром в командлете Set-AIPScannerContentScanJob является Применение. Однако в настоящее время может потребоваться определить другие параметры для задания сканирования содержимого. Например:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   Приведенный выше синтаксис настраивает следующие параметры при продолжении настройки:

   • Сохраняет расписание выполнения сканера вручную
   • Задает типы сведений, обнаруженные на основе политики меток конфиденциальности
   • Не применяет политику маркировки конфиденциальности
   • Автоматически метки файлов на основе содержимого с помощью метки по умолчанию, определенной для политики меток конфиденциальности.
   • Не разрешает переназначение файлов
   • Сохраняет сведения о файле при сканировании и автоматической маркировке, включая дату изменения, последнее изменение и изменение значений
   • Задает сканеру исключение .msg и .tmp файлов при выполнении
   • Задает владельца по умолчанию учетной записи, которую вы хотите использовать при запуске сканера.

9. Используйте командлет Add-AIPScannerRepository, чтобы определить репозитории, которые вы хотите сканировать в задании сканирования содержимого. Вот пример команды для запуска:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Используйте один из следующих синтаксисов в зависимости от типа добавляемого репозитория:

   • Для сетевого ресурса используйте \\Server\Folder.
   • Для библиотеки SharePoint используйте http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Для локального пути: C:\Folder
   • Для пути UNC: \\Server\Folder

   Примечание.

   Wild карта не поддерживаются, а расположения WebDav не поддерживаются.

   Чтобы изменить репозиторий позже, используйте вместо этого командлет Set-AIPScannerRepository .

При необходимости выполните следующие действия.

• Выполнение цикла обнаружения и просмотр отчетов для средства проверки
• Использование PowerShell для настройки сканера для применения классификации и защиты
• Настройка политики защиты от потери данных с помощью сканера с помощью PowerShell

В следующей таблице перечислены командлеты PowerShell, относящиеся к установке сканера и управлению заданиями сканирования содержимого:

Командлет	Description
Add-AIPScannerRepository	Добавляет новый репозиторий в задание сканирования содержимого.
Get-AIPScannerConfiguration	Возвращает сведения о кластере.
Get-AIPScannerContentScanJob	Возвращает сведения о задании сканирования содержимого.
Get-AIPScannerRepository	Возвращает сведения о репозиториях, определенных для задания сканирования содержимого.
Remove-AIPScannerContentScanJob	Удаляет задание сканирования содержимого.
Remove-AIPScannerRepository	Удаляет репозиторий из задания проверки содержимого.
Set-AIPScannerContentScanJob	Определяет параметры задания сканирования содержимого.
Set-AIPScannerRepository	Определяет параметры для существующего репозитория в задании сканирования содержимого.

Дополнительные сведения см. в разделе:

• Сведения о сканере защиты информации
• Настройка и установка сканера защиты информации
• Управление заданиями сканирования содержимого с помощью PowerShell только