Azure Information Protection-stöd för Office 365 som drivs av 21Vianet
Den här artikeln beskriver skillnaderna mellan Azure Information Protection-stöd (AIP) för Office 365 som drivs av 21Vianet och kommersiella erbjudanden, samt specifika instruktioner för att konfigurera AIP för kunder i Chinaincluding— how to install the AIP on-premises scanner and manage content scan jobs.
Skillnader mellan AIP för Office 365 som drivs av 21Vianet och kommersiella erbjudanden
Även om vårt mål är att tillhandahålla alla kommersiella funktioner till kunder i Kina med erbjudandet AIP för Office 365 som drivs av 21Vianet finns det några funktioner som saknas och som vi vill lyfta fram.
Följande lista innehåller de befintliga luckorna mellan AIP för Office 365 som drivs av 21Vianet och våra kommersiella erbjudanden från och med januari 2021:
Active Directory Rights Management Services (AD RMS)-kryptering stöds endast i Microsoft 365-appar för företag (version 11731.10000 eller senare). Office Professional Plus har inte stöd för AD RMS.
Migrering från AD RMS till AIP är för närvarande inte tillgänglig.
Delning av skyddade e-postmeddelanden med användare i det kommersiella molnet stöds.
Det går för närvarande inte att dela dokument och e-postbilagor med användare i det kommersiella molnet. Detta omfattar Office 365 som drivs av 21Vianet-användare i det kommersiella molnet, icke-Office 365 som drivs av 21Vianet-användare i det kommersiella molnet och användare med en RMS för individer-licens.
IRM med SharePoint (IRM-skyddade webbplatser och bibliotek) är för närvarande inte tillgängligt.
Tillägget för mobila enheter för AD RMS är för närvarande inte tillgängligt.
Mobile Viewer stöds inte av Azure China 21Vianet.
Området AIP i Azure Portal är inte tillgängligt för kunder i Kina. Använd PowerShell-kommandon i stället för att utföra åtgärder i portalen, till exempel hantera och köra genomsökningsjobben för innehåll.
AIP-slutpunkterna i Office 365 som drivs av 21Vianet skiljer sig från slutpunkterna som krävs för andra molntjänster. Nätverksanslutning från klienter till följande slutpunkter krävs:
- Ladda ned principer för etiketter:
*.protection.partner.outlook.cn - Azure Rights Management-tjänsten:
*.aadrm.cn
- Ladda ned principer för etiketter:
Konfigurera AIP för kunder i Kina
Så här konfigurerar du AIP för kunder i Kina:
Lägg till Microsoft Information Protection huvudnamn för synkroniseringstjänsten.
Installera den lokala AIP-skannern och hantera genomsökningsjobb för innehåll.
Steg 1: Aktivera rättighetshantering för klientorganisationen
För att krypteringen ska fungera måste RMS vara aktiverat för klientorganisationen.
Kontrollera om RMS är aktiverat:
- Starta PowerShell som administratör.
- Om AIPService-modulen inte är installerad kör du
Install-Module AipService. - Importera modulen med .
Import-Module AipService - Anslut till tjänsten med
Connect-AipService -environmentname azurechinacloud. - Kör
(Get-AipServiceConfiguration).FunctionalStateoch kontrollera om statusen ärEnabled.
Om funktionstillståndet är
Disabledkör duEnable-AipService.
Steg 2: Lägg Microsoft Information Protection tjänstens huvudnamn för synkroniseringstjänsten
Tjänsten Microsoft Information Protection är inte tillgänglig i Azure China-klientorganisationen som standard och krävs för Azure Information Protection. Skapa den här tjänstens huvudnamn manuellt via Azure Az PowerShell-modulen.
Om du inte har Azure Az-modulen installerad installerar du den eller använder en resurs där Azure Az-modulen är förinstallerad, till exempel Azure Cloud Shell. Mer information finns i Installera Azure Az PowerShell-modulen.
Anslut till tjänsten med cmdleten Anslut-AzAccount och miljönamnet
azurechinacloud:Connect-azaccount -environmentname azurechinacloudSkapa Microsoft Information Protection-synkroniseringstjänstens huvudnamn manuellt med cmdleten
870c4f2e-85b6-4d43-bdda-6ed9a579b725New-AzADServicePrincipal och program-ID:t för Microsoft Information Protection-synkroniseringstjänsten:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725När du har lagt till tjänstens huvudnamn lägger du till de relevanta behörigheter som krävs för tjänsten.
Steg 3: Konfigurera DNS-kryptering
För att krypteringen ska fungera Office måste klientprogrammen ansluta till Kina-instansen av tjänsten och bootstrap därifrån. Om klientprogrammen ska omdirigeras till rätt tjänstinstans måste innehavaradministratören konfigurera en DNS SRV-post med information om Azure RMS-URL: en. Utan DNS SRV-posten försöker klientprogrammet ansluta till den offentliga molninstansen som standard och kommer att misslyckas.
Antagandet är också att användare loggar in med ett användarnamn baserat på den klientorganisationsägda domänen ( joe@contoso.cntill exempel ), onmschina och inte användarnamnet (till exempel joe@contoso.onmschina.cn). Domännamnet från användarnamnet används för DNS-omdirigering till rätt tjänstinstans.
Konfigurera DNS-kryptering – Windows
Skaffa RMS-ID:
- Starta PowerShell som administratör.
- Om AIPService-modulen inte är installerad kör du
Install-Module AipService. - Anslut till tjänsten med
Connect-AipService -environmentname azurechinacloud. - Kör
(Get-AipServiceConfiguration).RightsManagementServiceIdför att få RMS-ID: t.
Logga in på din DNS-leverantör, navigera till DNS-inställningarna för domänen och lägg sedan till en ny SRV-post.
- Service =
_rmsredir - Protocol =
_http - Name =
_tcp - Mål =
[GUID].rms.aadrm.cn(där GUID är RMS-ID) - Prioritet, Vikt, Sekunder, TTL = standardvärden
- Service =
Koppla den anpassade domänen till klientorganisationen i Azure Portal. Då lägger du till en post i DNS, vilket kan ta flera minuter att verifieras när du har lagt till värdet i DNS-inställningarna.
Logga in på Administrationscenter för Microsoft 365 autentiseringsuppgifter som global administratör och lägg till domänen (
contoso.cntill exempel ) för att skapa användare. I verifieringsprocessen kan du behöva göra ytterligare DNS-ändringar. När verifieringen är klar kan användarna skapas.
Konfigurera DNS-kryptering – Mac, iOS, Android
Logga in på din DNS-leverantör, navigera till DNS-inställningarna för domänen och lägg sedan till en ny SRV-post.
- Service =
_rmsdisco - Protocol =
_http - Name =
_tcp - Target =
api.aadrm.cn - Port =
80 - Prioritet, Vikt, Sekunder, TTL = standardvärden
Steg 4: Installera och konfigurera den enhetliga AIP-etikettklienten
Ladda ned och installera AIP Unified Labeling-klienten från Microsoft Download Center.
Mer information finns i:
- AIP-dokumentation
- Versionshistorik och supportpolicy för AIP
- Systemkrav för AIP
- Snabbstart för AIP: Distribuera AIP-klienten
- AIP-administratörsguide
- AIP-användarhandbok
- Läs mer Microsoft 365 känslighetsetiketter
Steg 5: Konfigurera AIP-appar på Windows
AIP-appar Windows behöver följande registernyckel för att de ska kunna peka på rätt suveränt moln för Azure China:
- Registernod =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP - Name =
CloudEnvType - Värde =
6(standard = 0) - Skriv =
REG_DWORD
Viktigt
Se till att du inte tar bort registernyckeln efter en avinstallation. Om nyckeln är tom, felaktig eller inte finns fungerar funktionen som standardvärdet (standardvärdet = 0 för det kommersiella molnet). Om nyckeln är tom eller felaktig läggs även ett utskriftsfel till i loggen.
Steg 6: Installera den lokala AIP-skannern och hantera genomsökningsjobb
Installera den lokala AIP-skannern för att söka igenom nätverks- och innehållsresurser efter känsliga data, och tillämpa klassificerings- och skyddsetiketter enligt organisationens policy.
När du konfigurerar och hanterar innehållssökningsjobben ska du använda följande procedur i stället för det Azure Portal-gränssnitt som används av de kommersiella erbjudandena.
Mer information finns i Vad är en enhetlig skanner för Azure Information Protection? och Hantera genomsökningsjobb med bara PowerShell.
Installera och konfigurera skannern:
Logga in på Windows Server-datorn som kör skannern. Använd ett konto med lokala administratörsrättigheter och som har behörighet att skriva till SQL Server huvuddatabasen.
Börja med att stänga PowerShell. Om du tidigare har installerat AIP-klienten och skannern ska du kontrollera att AIP Scannerner-tjänsten stoppas.
Öppna en Windows PowerShell session med alternativet Kör som administratör.
Kör cmdleten Install-AIP Scannerner, där du anger vilken SQL Server-instans du ska skapa en databas för Azure Information Protection-skannern och ett beskrivande namn på skannerkluster.
Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>Tips
Du kan använda samma klusternamn i kommandot Install-AIP Scannerner för att koppla flera skannernoder till samma kluster. Med hjälp av samma kluster för flera skannernoder kan flera skannrar arbeta tillsammans för att utföra genomsökningarna.
Kontrollera att tjänsten nu är installerad med hjälp av AdministrationsverktygServices > .
Den installerade tjänsten heter Azure Information Protection Scanner och är konfigurerad att köras med hjälp av det skannertjänstkonto som du har skapat.
Hämta en Azure-token som ska användas med skannern. Med en Azure AD-token kan skannern autentiseras i Azure Information Protection-tjänsten, vilket gör att skannern kan köras icke-interaktivt.
Öppna Azure-portalen och skapa ett Azure AD-program för att ange en åtkomsttoken för autentisering. Mer information finns i Så här märks filer icke-interaktivt för Azure Information Protection.
Tips
När du skapar och konfigurerar Azure AD-program för kommandot Set-AIPAuthentication visas i fönstret Begär API-behörigheter de API:er som min organisation använder flik i stället för fliken Microsoft-API:er. Välj de API:er som min organisation använder för att sedan välja Azure Rights Management Services.
Från Windows Server-datorn loggar du in med det här kontot och startar en PowerShell-session om ditt skannertjänstkonto har beviljats logga in lokalt direkt för installationen.
Om ditt skannertjänstkonto inte kan beviljas logga in lokalt direkt för installationen använder du parametern OnBehalfOf med Set-AIPAuthentication enligt beskrivningen i Så här etiketterar du filer icke-interaktivt för Azure Information Protection.
Kör Set-AIPAuthentication, ange värden som kopieras från Azure AD-programmet:
Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>Till exempel:
$pscreds = Get-Credential CONTOSO\scanner Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.Skannern har nu en token som autentiseras i Azure AD. Den här tokenen är giltig i ett år, två år eller aldrig enligt konfigurationen av webbappen /API-klienthemligheten i Azure AD. När token går ut måste du upprepa den här proceduren.
Kör cmdleten Set-AIP ScannernerConfiguration för att ställa in skannern så att den fungerar i offlineläge. Kör:
Set-AIPScannerConfiguration -OnlineConfiguration OffKör cmdleten Set-AIPScannerContentScanJob för att skapa ett standardjobb för innehållssökning.
Den enda obligatoriska parametern i cmdleten Set-AIPScannerContentJob är Enforce. Men du kanske vill definiera andra inställningar för genomsökningsjobbet för innehåll just nu. Till exempel:
Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>Syntaxen ovan konfigurerar följande inställningar när du fortsätter konfigurationen:
- Gör så att schemaläggningen av skannern körs manuellt
- Anger vilka informationstyper som ska identifieras utifrån känslighetsetiketts princip
- Tillämpar inte en princip för känslighetsetiketter
- Automatiskt etiketterar filer baserat på innehåll med hjälp av standardetiketten som definierats för känslighetsetikettsprincipen
- Tillåter inte att filer relabels
- Bevarar filinformation vid genomsökning och automatisk etikettering, inklusive datum som ändrats, senast ändrats och ändrats av värden
- Ställer in skannern till att utesluta .msg- och .tmp-filer när den körs
- Anger standardägaren till det konto som du vill använda när skannern körs
Använd cmdleten Add-AIPScannerRepository till att definiera de lagringsgränser du vill söka igenom i innehållssökningsjobbet. Kör till exempel:
Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'Använd någon av följande syntaxer, beroende på vilken typ av lagringsplats du lägger till:
- För en nätverksresurs använder du
\\Server\Folder. - För ett SharePoint bibliotek använder du
http://sharepoint.contoso.com/Shared%20Documents/Folder. - För en lokal sökväg:
C:\Folder - För en UNC-sökväg:
\\Server\Folder
Anteckning
Jokertecken stöds inte och WebDav-platser stöds inte.
Om du vill ändra lagringsplatsen senare använder du cmdleten Set-AIPScannerRepository i stället.
- För en nätverksresurs använder du
Fortsätt med följande steg efter behov:
- Köra en identifieringscykel och visa rapporter för skannern
- Använda PowerShell för att konfigurera skannern att tillämpa klassificering och skydd
- Använda PowerShell för att konfigurera en DLP-princip med skannern
I följande tabell visas PowerShell-cmdlets som är relevanta för installation av skannern och hantering av innehållssökningsjobb:
| Cmdlet | Beskrivning |
|---|---|
| Add-AIPScannerRepository | Lägger till en ny lagringsplats i genomsökningsjobbet för innehåll. |
| Get-AIPScannerConfiguration | Returnerar information om klustret. |
| Get-AIPScannerContentScanJob | Hämtar information om ditt innehållssökningsjobb. |
| Get-AIPScannerRepository | Hämtar information om lagringsplatsen som definierats för ditt genomsökningsjobb. |
| Remove-AIPScannerContentScan Job | Tar bort ditt genomsökningsjobb. |
| Remove-AIPScannerRepository | Tar bort en lagringsplats från innehållssökningsjobbet. |
| Set-AIPScannerContentScanJob | Definierar inställningar för innehållssökningsjobbet. |
| Set-AIPScannerRepository | Definierar inställningar för en befintlig lagringsplats i genomsökningsjobbet för innehåll. |
Mer information finns i: