Поддержка Azure Information Protection для Office 365 под управлением 21Vianet
В этой статье рассматриваются различия между поддержкой Azure Information Protection (AIP) для Office 365, управляемой 21Vianet и коммерческими предложениями, а также конкретными инструкциями по настройке AIP для клиентов в Китае, включая установку сканера защиты информации и управление заданиями сканирования содержимого.
Различия между AIP для Office 365, управляемыми 21Vianet и коммерческими предложениями
Хотя наша цель заключается в предоставлении всех коммерческих функций и функций клиентам в Китае с помощью AIP для Office 365, управляемого предложением 21Vianet, есть некоторые отсутствующие функции, которые мы хотели бы выделить.
Ниже приведен список пробелов между AIP для Office 365, управляемыми 21Vianet и нашими коммерческими предложениями:
шифрование службы Active Directory Rights Management (AD RMS) поддерживается только в Приложения Microsoft 365 для предприятий (сборка 11731.10000 или более поздняя версия). Office профессиональный плюс не поддерживает AD RMS.
Миграция из AD RMS в AIP в настоящее время недоступна.
Поддерживается совместное использование защищенных сообщений электронной почты с пользователями в коммерческом облаке.
Общий доступ к документам и вложениям электронной почты пользователям в коммерческом облаке в настоящее время недоступен. Сюда входят пользователи Office 365, управляемые пользователями 21Vianet в коммерческом облаке, отличные от Office 365, управляемые пользователями 21Vianet в коммерческом облаке, и пользователи с лицензией RMS для частных лиц.
В настоящее время IRM с SharePoint (защищенные IRM-сайты и библиотеки) недоступны.
Расширение мобильных устройств для AD RMS в настоящее время недоступно.
Mobile Viewer не поддерживается Azure China 21Vianet.
Область проверки портала соответствия недоступна клиентам в Китае. Используйте команды PowerShell вместо выполнения действий на портале, таких как управление и выполнение заданий сканирования содержимого.
Конечные точки AIP в Office 365, управляемые 21Vianet, отличаются от конечных точек, необходимых для других облачных служб. Требуется сетевое подключение от клиентов к следующим конечным точкам:
- Скачайте политики меток и меток:
*.protection.partner.outlook.cn
- Служба Azure Rights Management:
*.aadrm.cn
- Скачайте политики меток и меток:
отслеживание документов и отзыв пользователей в настоящее время недоступны.
Настройка AIP для клиентов в Китае
Чтобы настроить AIP для клиентов в Китае, выполните приведенные ниже действия.
Добавьте субъект-службу службы синхронизации Microsoft Information Protection.
Настройка шифрования DNS.
Установите и настройте клиент унифицированных меток AIP.
Установите средство проверки защиты информации и управляйте заданиями сканирования содержимого.
Шаг 1. Включение управления правами для клиента
Чтобы шифрование работало правильно, RMS необходимо включить для клиента.
Проверьте, включена ли служба RMS:
- Запустите PowerShell от имени администратора.
- Если модуль AIPService не установлен, выполните команду
Install-Module AipService
. - Импорт модуля с помощью
Import-Module AipService
. - Подключение в службу с помощью
Connect-AipService -environmentname azurechinacloud
. - Запустите
(Get-AipServiceConfiguration).FunctionalState
и проверка, если состояние равноEnabled
.
Если функциональное состояние равно
Disabled
, выполните командуEnable-AipService
.
Шаг 2. Добавление субъекта-службы синхронизации Microsoft Information Protection
Субъект-служба службы синхронизации Microsoft Information Protection недоступна в клиентах Китая Azure по умолчанию и требуется для Azure Information Protection. Создайте этот субъект-службу вручную с помощью модуля Azure Az PowerShell.
Если у вас нет установленного модуля Azure Az, установите его или используйте ресурс, в котором модуль Azure Az будет предварительно установлен, например Azure Cloud Shell. Дополнительные сведения см. в статье Установка модуля Azure Az PowerShell.
Подключение в службу с помощью командлета Подключение-AzAccount и
azurechinacloud
имени среды:Connect-azaccount -environmentname azurechinacloud
Создайте субъект-службу службы синхронизации Microsoft Information Protection вручную с помощью командлета New-AzADServicePrincipal и
870c4f2e-85b6-4d43-bdda-6ed9a579b725
идентификатора приложения для службы синхронизации Защита информации Microsoft Purview:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
После добавления субъекта-службы добавьте соответствующие разрешения, необходимые для службы.
Шаг 3. Настройка шифрования DNS
Чтобы шифрование работало правильно, клиентские приложения Office должны подключаться к экземпляру службы и начальной загрузке оттуда. Чтобы перенаправить клиентские приложения в правильный экземпляр службы, администратор клиента должен настроить запись DNS SRV с информацией о URL-адресе Azure RMS. Без записи SRV DNS клиентское приложение попытается подключиться к общедоступному облачному экземпляру по умолчанию и завершится ошибкой.
Кроме того, предполагается, что пользователи будут входить с помощью имени пользователя, основанного на домене клиента (например, joe@contoso.cn
), а не onmschina
имени пользователя (например, joe@contoso.onmschina.cn
). Имя домена из имени пользователя используется для перенаправления DNS в правильный экземпляр службы.
Настройка шифрования DNS в Windows
Получите идентификатор RMS:
- Запустите PowerShell от имени администратора.
- Если модуль AIPService не установлен, выполните команду
Install-Module AipService
. - Подключение в службу с помощью
Connect-AipService -environmentname azurechinacloud
. - Выполните команду
(Get-AipServiceConfiguration).RightsManagementServiceId
, чтобы получить идентификатор RMS.
Войдите в поставщик DNS, перейдите к параметрам DNS для домена и добавьте новую запись SRV.
- Служба =
_rmsredir
- Протокол =
_http
- Name =
_tcp
- Target =
[GUID].rms.aadrm.cn
(где GUID является идентификатором RMS) - Приоритет, вес, секунды, TTL = значения по умолчанию
- Служба =
Свяжите личный домен с клиентом в портал Azure. Это добавит запись в DNS, которая может занять несколько минут, чтобы провериться после добавления значения в параметры DNS.
Войдите в Центр администрирования Microsoft 365 с соответствующими учетными данными глобального администратора и добавьте домен (например,
contoso.cn
) для создания пользователя. В процессе проверки могут потребоваться дополнительные изменения DNS. После завершения проверки пользователи могут быть созданы.
Настройка шифрования DNS — Mac, iOS, Android
Войдите в поставщик DNS, перейдите к параметрам DNS для домена и добавьте новую запись SRV.
- Служба =
_rmsdisco
- Протокол =
_http
- Name =
_tcp
- Target =
api.aadrm.cn
- Порт =
80
- Приоритет, вес, секунды, TTL = значения по умолчанию
Шаг 4. Установка и настройка клиента унифицированных меток AIP
Скачайте и установите клиент унифицированных меток AIP из Центра загрузки Майкрософт.
Дополнительные сведения см. в разделе:
- Документация по AIP
- [Журнал версий AIP и политика поддержки] ((/purview/information-protection-client-relnotes)
- Требования к системе AIP
- Краткое руководство по AIP. Развертывание клиента AIP
- Руководство администратора AIP
- Руководство пользователя AIP
- Сведения о метках конфиденциальности
Шаг 5. Настройка приложений AIP в Windows
Приложения AIP в Windows нуждаются в следующем разделе реестра, чтобы указать им правильный суверенный облако для Azure China:
- Узел реестра =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Name =
CloudEnvType
- Значение = (по умолчанию =
6
0) - Тип =
REG_DWORD
Внимание
Не удаляйте раздел реестра после удаления. Если ключ пуст, неверный или несуществующий, функция будет вести себя как значение по умолчанию (значение по умолчанию = 0 для коммерческого облака). Если ключ пуст или неправильно, в журнал также добавляется ошибка печати.
Шаг 6. Установка сканера защиты информации и управление заданиями сканирования содержимого
Установите сканер Защита информации Microsoft Purview для проверки общих папок сети и содержимого для конфиденциальных данных, а также применения меток классификации и защиты, как указано в политике вашей организации.
При настройке заданий сканирования контента и управлении ими используйте следующую процедуру вместо Портал соответствия требованиям Microsoft Purview, которая используется коммерческими предложениями.
Дополнительные сведения см. в статье "Сведения о сканере защиты информации" и управлении заданиями сканирования содержимого только с помощью PowerShell.
Чтобы установить и настроить сканер, выполните приведенные ниже действия.
Войдите на компьютер Windows Server, на котором будет запущен сканер. Используйте учетную запись с правами локального администратора и имеет разрешения на запись в базу данных master SQL Server.
Начните с закрытия PowerShell. Если вы ранее установили клиент AIP и сканер, убедитесь, что служба AIPScanner остановлена.
Откройте сеанс Windows PowerShell с параметром запуска от имени администратора .
Запустите командлет Install-AIPScanner, указав экземпляр SQL Server, на котором создается база данных для сканера Azure Information Protection, и понятное имя кластера сканера.
Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
Совет
Одно и то же имя кластера можно использовать в команде Install-AIPScanner для связывания нескольких узлов сканера с тем же кластером. Использование одного кластера для нескольких узлов сканера позволяет нескольким сканерам работать вместе для выполнения проверок.
Убедитесь, что служба установлена с помощью служб Администратор istrative Tools>Services.
Установленная служба называется сканером Azure Information Protection и настроена для запуска с помощью созданной учетной записи службы проверки.
Получите маркер Azure для использования с сканером. Маркер Microsoft Entra позволяет сканеру проходить проверку подлинности в службе Azure Information Protection, что позволяет сканеру работать неинтерактивно.
Откройте портал Azure и создайте приложение Microsoft Entra, чтобы указать маркер доступа для проверки подлинности. Дополнительные сведения см. в статье Как помечать файлы в неинтерактивном режиме для Azure Information Protection.
Совет
При создании и настройке приложений Microsoft Entra для команды Set-AIPAuthentication в области разрешений API запросов отображаются интерфейсы API, которые моя организация использует на вкладке", а не на вкладке "API Майкрософт". Выберите API, которые моя организация использует для выбора служб управления правами Azure.
На компьютере Windows Server, если учетная запись службы сканера была предоставлена локально для установки, войдите с помощью этой учетной записи и запустите сеанс PowerShell.
Если учетная запись службы сканера не может быть предоставлена локальному входу для установки, используйте параметр OnBehalfOf с Set-AIPAuthentication, как описано в разделе "Как метка файлов, неинтерактивно для Azure Information Protection".
Запустите set-AIPAuthentication, указав значения, скопированные из приложения Microsoft Entra:
Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Например:
$pscreds = Get-Credential CONTOSO\scanner Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
Теперь сканер имеет маркер для проверки подлинности в идентификаторе Microsoft Entra. Этот маркер действителен в течение одного года, двух лет или никогда, в соответствии с конфигурацией секрета клиента веб-приложения /API в идентификаторе Microsoft Entra. По истечении срока действия маркера необходимо повторить эту процедуру.
Выполните командлет Set-AIPScannerConfiguration, чтобы настроить сканер для работы в автономном режиме. Запустить:
Set-AIPScannerConfiguration -OnlineConfiguration Off
Выполните командлет Set-AIPScannerContentScanJob, чтобы создать задание сканирования содержимого по умолчанию.
Единственным обязательным параметром в командлете Set-AIPScannerContentScanJob является Применение. Однако в настоящее время может потребоваться определить другие параметры для задания сканирования содержимого. Например:
Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
Приведенный выше синтаксис настраивает следующие параметры при продолжении настройки:
- Сохраняет расписание выполнения сканера вручную
- Задает типы сведений, обнаруженные на основе политики меток конфиденциальности
- Не применяет политику маркировки конфиденциальности
- Автоматически метки файлов на основе содержимого с помощью метки по умолчанию, определенной для политики меток конфиденциальности.
- Не разрешает переназначение файлов
- Сохраняет сведения о файле при сканировании и автоматической маркировке, включая дату изменения, последнее изменение и изменение значений
- Задает сканеру исключение .msg и .tmp файлов при выполнении
- Задает владельца по умолчанию учетной записи, которую вы хотите использовать при запуске сканера.
Используйте командлет Add-AIPScannerRepository, чтобы определить репозитории, которые вы хотите сканировать в задании сканирования содержимого. Вот пример команды для запуска:
Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Используйте один из следующих синтаксисов в зависимости от типа добавляемого репозитория:
- Для сетевого ресурса используйте
\\Server\Folder
. - Для библиотеки SharePoint используйте
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Для локального пути:
C:\Folder
- Для пути UNC:
\\Server\Folder
Примечание.
Wild карта не поддерживаются, а расположения WebDav не поддерживаются.
Чтобы изменить репозиторий позже, используйте вместо этого командлет Set-AIPScannerRepository .
- Для сетевого ресурса используйте
При необходимости выполните следующие действия.
- Выполнение цикла обнаружения и просмотр отчетов для средства проверки
- Использование PowerShell для настройки сканера для применения классификации и защиты
- Настройка политики защиты от потери данных с помощью сканера с помощью PowerShell
В следующей таблице перечислены командлеты PowerShell, относящиеся к установке сканера и управлению заданиями сканирования содержимого:
Командлет | Description |
---|---|
Add-AIPScannerRepository | Добавляет новый репозиторий в задание сканирования содержимого. |
Get-AIPScannerConfiguration | Возвращает сведения о кластере. |
Get-AIPScannerContentScanJob | Возвращает сведения о задании сканирования содержимого. |
Get-AIPScannerRepository | Возвращает сведения о репозиториях, определенных для задания сканирования содержимого. |
Remove-AIPScannerContentScanJob | Удаляет задание сканирования содержимого. |
Remove-AIPScannerRepository | Удаляет репозиторий из задания проверки содержимого. |
Set-AIPScannerContentScanJob | Определяет параметры задания сканирования содержимого. |
Set-AIPScannerRepository | Определяет параметры для существующего репозитория в задании сканирования содержимого. |
Дополнительные сведения см. в разделе:
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по