Azure Information Protection-stöd för Office 365 som drivs av 21Vianet

Den här artikeln beskriver skillnaderna mellan Azure Information Protection-stöd (AIP) för Office 365 som drivs av 21Vianet och kommersiella erbjudanden, samt specifika instruktioner för att konfigurera AIP för kunder i Chinaincluding— how to install the AIP on-premises scanner and manage content scan jobs.

Skillnader mellan AIP för Office 365 som drivs av 21Vianet och kommersiella erbjudanden

Även om vårt mål är att tillhandahålla alla kommersiella funktioner till kunder i Kina med erbjudandet AIP för Office 365 som drivs av 21Vianet finns det några funktioner som saknas och som vi vill lyfta fram.

Följande lista innehåller de befintliga luckorna mellan AIP för Office 365 som drivs av 21Vianet och våra kommersiella erbjudanden från och med januari 2021:

  • Active Directory Rights Management Services (AD RMS)-kryptering stöds endast i Microsoft 365-appar för företag (version 11731.10000 eller senare). Office Professional Plus har inte stöd för AD RMS.

  • Migrering från AD RMS till AIP är för närvarande inte tillgänglig.

  • Delning av skyddade e-postmeddelanden med användare i det kommersiella molnet stöds.

  • Det går för närvarande inte att dela dokument och e-postbilagor med användare i det kommersiella molnet. Detta omfattar Office 365 som drivs av 21Vianet-användare i det kommersiella molnet, icke-Office 365 som drivs av 21Vianet-användare i det kommersiella molnet och användare med en RMS för individer-licens.

  • IRM med SharePoint (IRM-skyddade webbplatser och bibliotek) är för närvarande inte tillgängligt.

  • Tillägget för mobila enheter för AD RMS är för närvarande inte tillgängligt.

  • Mobile Viewer stöds inte av Azure China 21Vianet.

  • Området AIP i Azure Portal är inte tillgängligt för kunder i Kina. Använd PowerShell-kommandon i stället för att utföra åtgärder i portalen, till exempel hantera och köra genomsökningsjobben för innehåll.

  • AIP-slutpunkterna i Office 365 som drivs av 21Vianet skiljer sig från slutpunkterna som krävs för andra molntjänster. Nätverksanslutning från klienter till följande slutpunkter krävs:

    • Ladda ned principer för etiketter: *.protection.partner.outlook.cn
    • Azure Rights Management-tjänsten: *.aadrm.cn

Konfigurera AIP för kunder i Kina

Så här konfigurerar du AIP för kunder i Kina:

  1. Aktivera rättighetshantering för klientorganisationen.

  2. Lägg till Microsoft Information Protection huvudnamn för synkroniseringstjänsten.

  3. Konfigurera DNS-kryptering.

  4. Installera och konfigurera AIP unified labeling-klienten.

  5. Konfigurera AIP-appar på Windows.

  6. Installera den lokala AIP-skannern och hantera genomsökningsjobb för innehåll.

Steg 1: Aktivera rättighetshantering för klientorganisationen

För att krypteringen ska fungera måste RMS vara aktiverat för klientorganisationen.

  1. Kontrollera om RMS är aktiverat:

    1. Starta PowerShell som administratör.
    2. Om AIPService-modulen inte är installerad kör du Install-Module AipService.
    3. Importera modulen med .Import-Module AipService
    4. Anslut till tjänsten med Connect-AipService -environmentname azurechinacloud.
    5. Kör (Get-AipServiceConfiguration).FunctionalState och kontrollera om statusen är Enabled.
  2. Om funktionstillståndet är Disabledkör du Enable-AipService.

Steg 2: Lägg Microsoft Information Protection tjänstens huvudnamn för synkroniseringstjänsten

Tjänsten Microsoft Information Protection är inte tillgänglig i Azure China-klientorganisationen som standard och krävs för Azure Information Protection. Skapa den här tjänstens huvudnamn manuellt via Azure Az PowerShell-modulen.

  1. Om du inte har Azure Az-modulen installerad installerar du den eller använder en resurs där Azure Az-modulen är förinstallerad, till exempel Azure Cloud Shell. Mer information finns i Installera Azure Az PowerShell-modulen.

  2. Anslut till tjänsten med cmdleten Anslut-AzAccount och miljönamnetazurechinacloud:

    Connect-azaccount -environmentname azurechinacloud
    
  3. Skapa Microsoft Information Protection-synkroniseringstjänstens huvudnamn manuellt med cmdleten 870c4f2e-85b6-4d43-bdda-6ed9a579b725 New-AzADServicePrincipal och program-ID:t för Microsoft Information Protection-synkroniseringstjänsten:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
    
  4. När du har lagt till tjänstens huvudnamn lägger du till de relevanta behörigheter som krävs för tjänsten.

Steg 3: Konfigurera DNS-kryptering

För att krypteringen ska fungera Office måste klientprogrammen ansluta till Kina-instansen av tjänsten och bootstrap därifrån. Om klientprogrammen ska omdirigeras till rätt tjänstinstans måste innehavaradministratören konfigurera en DNS SRV-post med information om Azure RMS-URL: en. Utan DNS SRV-posten försöker klientprogrammet ansluta till den offentliga molninstansen som standard och kommer att misslyckas.

Antagandet är också att användare loggar in med ett användarnamn baserat på den klientorganisationsägda domänen ( joe@contoso.cntill exempel ), onmschina och inte användarnamnet (till exempel joe@contoso.onmschina.cn). Domännamnet från användarnamnet används för DNS-omdirigering till rätt tjänstinstans.

Konfigurera DNS-kryptering – Windows

  1. Skaffa RMS-ID:

    1. Starta PowerShell som administratör.
    2. Om AIPService-modulen inte är installerad kör du Install-Module AipService.
    3. Anslut till tjänsten med Connect-AipService -environmentname azurechinacloud.
    4. Kör (Get-AipServiceConfiguration).RightsManagementServiceId för att få RMS-ID: t.
  2. Logga in på din DNS-leverantör, navigera till DNS-inställningarna för domänen och lägg sedan till en ny SRV-post.

    • Service = _rmsredir
    • Protocol = _http
    • Name = _tcp
    • Mål = [GUID].rms.aadrm.cn (där GUID är RMS-ID)
    • Prioritet, Vikt, Sekunder, TTL = standardvärden
  3. Koppla den anpassade domänen till klientorganisationen i Azure Portal. Då lägger du till en post i DNS, vilket kan ta flera minuter att verifieras när du har lagt till värdet i DNS-inställningarna.

  4. Logga in på Administrationscenter för Microsoft 365 autentiseringsuppgifter som global administratör och lägg till domänen (contoso.cntill exempel ) för att skapa användare. I verifieringsprocessen kan du behöva göra ytterligare DNS-ändringar. När verifieringen är klar kan användarna skapas.

Konfigurera DNS-kryptering – Mac, iOS, Android

Logga in på din DNS-leverantör, navigera till DNS-inställningarna för domänen och lägg sedan till en ny SRV-post.

  • Service = _rmsdisco
  • Protocol = _http
  • Name = _tcp
  • Target = api.aadrm.cn
  • Port = 80
  • Prioritet, Vikt, Sekunder, TTL = standardvärden

Steg 4: Installera och konfigurera den enhetliga AIP-etikettklienten

Ladda ned och installera AIP Unified Labeling-klienten från Microsoft Download Center.

Mer information finns i:

Steg 5: Konfigurera AIP-appar på Windows

AIP-appar Windows behöver följande registernyckel för att de ska kunna peka på rätt suveränt moln för Azure China:

  • Registernod = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Name = CloudEnvType
  • Värde = 6 (standard = 0)
  • Skriv = REG_DWORD

Viktigt

Se till att du inte tar bort registernyckeln efter en avinstallation. Om nyckeln är tom, felaktig eller inte finns fungerar funktionen som standardvärdet (standardvärdet = 0 för det kommersiella molnet). Om nyckeln är tom eller felaktig läggs även ett utskriftsfel till i loggen.

Steg 6: Installera den lokala AIP-skannern och hantera genomsökningsjobb

Installera den lokala AIP-skannern för att söka igenom nätverks- och innehållsresurser efter känsliga data, och tillämpa klassificerings- och skyddsetiketter enligt organisationens policy.

När du konfigurerar och hanterar innehållssökningsjobben ska du använda följande procedur i stället för det Azure Portal-gränssnitt som används av de kommersiella erbjudandena.

Mer information finns i Vad är en enhetlig skanner för Azure Information Protection? och Hantera genomsökningsjobb med bara PowerShell.

Installera och konfigurera skannern:

  1. Logga in på Windows Server-datorn som kör skannern. Använd ett konto med lokala administratörsrättigheter och som har behörighet att skriva till SQL Server huvuddatabasen.

  2. Börja med att stänga PowerShell. Om du tidigare har installerat AIP-klienten och skannern ska du kontrollera att AIP Scannerner-tjänsten stoppas.

  3. Öppna en Windows PowerShell session med alternativet Kör som administratör.

  4. Kör cmdleten Install-AIP Scannerner, där du anger vilken SQL Server-instans du ska skapa en databas för Azure Information Protection-skannern och ett beskrivande namn på skannerkluster.

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Tips

    Du kan använda samma klusternamn i kommandot Install-AIP Scannerner för att koppla flera skannernoder till samma kluster. Med hjälp av samma kluster för flera skannernoder kan flera skannrar arbeta tillsammans för att utföra genomsökningarna.

  5. Kontrollera att tjänsten nu är installerad med hjälp av AdministrationsverktygServices > .

    Den installerade tjänsten heter Azure Information Protection Scanner och är konfigurerad att köras med hjälp av det skannertjänstkonto som du har skapat.

  6. Hämta en Azure-token som ska användas med skannern. Med en Azure AD-token kan skannern autentiseras i Azure Information Protection-tjänsten, vilket gör att skannern kan köras icke-interaktivt.

    1. Öppna Azure-portalen och skapa ett Azure AD-program för att ange en åtkomsttoken för autentisering. Mer information finns i Så här märks filer icke-interaktivt för Azure Information Protection.

      Tips

      När du skapar och konfigurerar Azure AD-program för kommandot Set-AIPAuthentication visas i fönstret Begär API-behörigheter de API:er som min organisation använder flik i stället för fliken Microsoft-API:er. Välj de API:er som min organisation använder för att sedan välja Azure Rights Management Services.

    2. Från Windows Server-datorn loggar du in med det här kontot och startar en PowerShell-session om ditt skannertjänstkonto har beviljats logga in lokalt direkt för installationen.

      Om ditt skannertjänstkonto inte kan beviljas logga in lokalt direkt för installationen använder du parametern OnBehalfOf med Set-AIPAuthentication enligt beskrivningen i Så här etiketterar du filer icke-interaktivt för Azure Information Protection.

    3. Kör Set-AIPAuthentication, ange värden som kopieras från Azure AD-programmet:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Till exempel:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Skannern har nu en token som autentiseras i Azure AD. Den här tokenen är giltig i ett år, två år eller aldrig enligt konfigurationen av webbappen /API-klienthemligheten i Azure AD. När token går ut måste du upprepa den här proceduren.

  7. Kör cmdleten Set-AIP ScannernerConfiguration för att ställa in skannern så att den fungerar i offlineläge. Kör:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  8. Kör cmdleten Set-AIPScannerContentScanJob för att skapa ett standardjobb för innehållssökning.

    Den enda obligatoriska parametern i cmdleten Set-AIPScannerContentJob är Enforce. Men du kanske vill definiera andra inställningar för genomsökningsjobbet för innehåll just nu. Till exempel:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    Syntaxen ovan konfigurerar följande inställningar när du fortsätter konfigurationen:

    • Gör så att schemaläggningen av skannern körs manuellt
    • Anger vilka informationstyper som ska identifieras utifrån känslighetsetiketts princip
    • Tillämpar inte en princip för känslighetsetiketter
    • Automatiskt etiketterar filer baserat på innehåll med hjälp av standardetiketten som definierats för känslighetsetikettsprincipen
    • Tillåter inte att filer relabels
    • Bevarar filinformation vid genomsökning och automatisk etikettering, inklusive datum som ändrats, senast ändrats och ändrats av värden
    • Ställer in skannern till att utesluta .msg- och .tmp-filer när den körs
    • Anger standardägaren till det konto som du vill använda när skannern körs
  9. Använd cmdleten Add-AIPScannerRepository till att definiera de lagringsgränser du vill söka igenom i innehållssökningsjobbet. Kör till exempel:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Använd någon av följande syntaxer, beroende på vilken typ av lagringsplats du lägger till:

    • För en nätverksresurs använder du \\Server\Folder.
    • För ett SharePoint bibliotek använder du http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • För en lokal sökväg: C:\Folder
    • För en UNC-sökväg: \\Server\Folder

    Anteckning

    Jokertecken stöds inte och WebDav-platser stöds inte.

    Om du vill ändra lagringsplatsen senare använder du cmdleten Set-AIPScannerRepository i stället.

Fortsätt med följande steg efter behov:

I följande tabell visas PowerShell-cmdlets som är relevanta för installation av skannern och hantering av innehållssökningsjobb:

Cmdlet Beskrivning
Add-AIPScannerRepository Lägger till en ny lagringsplats i genomsökningsjobbet för innehåll.
Get-AIPScannerConfiguration Returnerar information om klustret.
Get-AIPScannerContentScanJob Hämtar information om ditt innehållssökningsjobb.
Get-AIPScannerRepository Hämtar information om lagringsplatsen som definierats för ditt genomsökningsjobb.
Remove-AIPScannerContentScan Job Tar bort ditt genomsökningsjobb.
Remove-AIPScannerRepository Tar bort en lagringsplats från innehållssökningsjobbet.
Set-AIPScannerContentScanJob Definierar inställningar för innehållssökningsjobbet.
Set-AIPScannerRepository Definierar inställningar för en befintlig lagringsplats i genomsökningsjobbet för innehåll.

Mer information finns i: