Azure Information Protection Premium Kamu Hizmeti Açıklaması

Not

Birleşik ve kolaylaştırılmış bir müşteri deneyimi sağlamak için Azure Portal'daki Azure Information Protection klasik istemcisi ve Etiket Yönetimi, 31 Eylül 2021 itibarıyla GCC, GCC-H ve DoD müşterileri için kullanım dışı bırakılmıştır.

Klasik istemci resmi olarak kullanımdan kaldırılacak ve 31 Mart 2022'de çalışmayı durduracaktır.

Tüm geçerli Azure Information Protection klasik istemci müşterilerinin Microsoft Purview Bilgi Koruması birleşik etiketleme platformuna geçmeleri ve birleşik etiketleme istemcisine yükseltmeleri gerekir. Geçiş blogumuzda daha fazla bilgi edinin.

Bu Hizmet Açıklaması nasıl kullanılır?

Azure Information Protection birleşik etiketlemesi GCC, GCC High ve DoD müşterileri için kullanılabilir.

Azure Information Protection Premium Kamu Hizmeti Açıklaması, GCC High ve DoD ortamlarında teklifimize genel bir bakış sağlamak üzere tasarlanmıştır ve Azure Information Protection Premium ticari tekliflerine kıyasla özellik çeşitlemelerini kapsar.

Azure Information Protection Premium Kamu ve üçüncü taraf hizmetleri

Bazı Azure Information Protection Premium hizmetleri, üçüncü taraf uygulamalar ve hizmetlerle sorunsuz bir şekilde çalışma olanağı sağlar.

Bu üçüncü taraf uygulamalar ve hizmetler, kuruluşunuzun müşteri içeriğini Azure Information Protection Premium altyapısının dışındaki üçüncü taraf sistemlerde depolamayı, iletmeyi ve işlemeyi içerebilir ve bu nedenle uyumluluk ve veri koruma taahhütlerimiz kapsamında değildir.

Kuruluşunuz için bu hizmetlerin uygun kullanımını değerlendirirken üçüncü taraflarca sağlanan gizlilik ve uyumluluk bildirimlerini gözden geçirmeyi unutmayın.

Azure Information Protection premium ticari teklifleriyle eşlik

Azure Information Protection Premium GCC High/DoD ile ticari teklif arasındaki bilinen mevcut boşluklar hakkında bilgi edinmek için bkz . Azure Information Protection için ABD Kamu müşterileri için bulut özelliği kullanılabilirliği.

GCC High ve DoD müşterileri için Azure Information Protection'ı yapılandırma

Aşağıdaki yapılandırma ayrıntıları, birleşik etiketleme çözümleri de dahil olmak üzere GCC High ve DoD müşterileri için tüm Azure Information Protection çözümleriyle ilgilidir.

• Kiracı için Rights Management'i etkinleştirme
• Şifreleme için DNS yapılandırması (Windows)
• Şifreleme için DNS yapılandırması (Mac, iOS, Android)
• Etiket geçişi
• AIP uygulamaları yapılandırması

Önemli

Temmuz 2020 güncelleştirmesi itibarıyla, Azure Information Protection birleşik etiketleme çözümünün tüm yeni GCC High müşterileri yalnızca Genel menü ve Tarayıcı menüsü özelliklerinden yararlanabilir.

Kiracı için Rights Management'i etkinleştirme

Şifrelemenin düzgün çalışması için kiracı için Rights Management Hizmeti'nin etkinleştirilmesi gerekir.

• Rights Management hizmetinin etkinleştirilip etkinleştirilmediğini denetleyin
  • PowerShell'i Yönetici istrator olarak başlatma
  • AADRM modülü yüklü değilse komutunu çalıştırın Install-Module aadrm
  • kullanarak hizmete BağlanConnect-aadrmservice -environmentname azureusgovernment
  • Komutunu çalıştırın (Get-AadrmConfiguration).FunctionalState ve durumun Enabled
• İşlevsel durum ise Disabledkomutunu çalıştırın Enable-Aadrm

Şifreleme için DNS yapılandırması (Windows)

Şifrelemenin düzgün çalışması için Office istemci uygulamalarının hizmetin GCC, GCC High/DoD örneğine bağlanması ve buradan bootstrap yapması gerekir. İstemci uygulamalarını doğru hizmet örneğine yeniden yönlendirmek için kiracı yöneticisinin Azure RMS URL'si hakkında bilgi içeren bir DNS SRV kaydı yapılandırması gerekir. DNS SRV kaydı olmadan istemci uygulaması varsayılan olarak genel bulut örneğine bağlanmayı dener ve başarısız olur.

Ayrıca, kullanıcıların onmicrosoft kullanıcı adını değil kiracıya ait etki alanını (örneğin: joe@contoso.us) temel alan kullanıcı adıyla oturum açacağı varsayımı da mevcuttur (örneğin: joe@contoso.onmicrosoft.us). Kullanıcı adından gelen etki alanı adı, DNS'nin doğru hizmet örneğine yeniden yönlendirmesi için kullanılır.

• Rights Management Hizmeti Kimliğini Alma
  • PowerShell'i Yönetici istrator olarak başlatma
  • AADRM modülü yüklü değilse komutunu çalıştırın Install-Module aadrm
  • kullanarak hizmete BağlanConnect-aadrmservice -environmentname azureusgovernment
  • Rights Management Hizmeti Kimliğini almak için komutunu çalıştırın (Get-aadrmconfiguration).RightsManagementServiceId
• DNS sağlayıcınızda oturum açın ve yeni bir SRV kaydı eklemek için etki alanının DNS ayarlarına gidin
  • Hizmet = _rmsredir
  • Protokol = _http
  • Ad = _tcp
  • Hedef = [GUID].rms.aadrm.us (burada GUID, Rights Management Hizmeti Kimliğidir)
  • Bağlantı noktası = 80
  • Öncelik, Ağırlık, Saniye, TTL = varsayılan değerler
• Özel etki alanını Azure portalındaki kiracıyla ilişkilendirin. Özel etki alanı ilişkilendirildikten sonra DNS'de bir girdi eklenir ve bu girdinin değeri eklendikten sonra doğrulanması birkaç dakika sürebilir.
• Office Yönetici Merkezi'nde ilgili genel yönetici kimlik bilgileriyle oturum açın ve kullanıcı oluşturmak için etki alanını (örnek: contoso.us) ekleyin. Doğrulama işleminde, daha fazla DNS değişikliği gerekebilir. Doğrulama tamamlandıktan sonra kullanıcılar oluşturulabilir.

Şifreleme için DNS yapılandırması (Mac, iOS, Android)

• DNS sağlayıcınızda oturum açın ve yeni bir SRV kaydı eklemek için etki alanının DNS ayarlarına gidin
  • Hizmet = _rmsdisco
  • Protokol = _http
  • Ad = _tcp
  • Hedef = api.aadrm.us
  • Bağlantı noktası = 80
  • Öncelik, Ağırlık, Saniye, TTL = varsayılan değerler

Etiket geçişi

GCC High ve DoD müşterilerinin PowerShell kullanarak mevcut tüm etiketleri geçirmesi gerekir. Geleneksel AIP geçiş yöntemleri GCC High ve DoD müşterileri için geçerli değildir .

Mevcut duyarlılık etiketlerinizi geçirmek için New-Label cmdlet'ini kullanın. Geçişinize başlamadan önce Güvenlik ve Uyumluluk Merkezi'ni kullanarak cmdlet'e bağlanma ve cmdlet'i çalıştırma yönergelerini izlediğinizden emin olun.

Mevcut bir duyarlılık etiketinin şifrelemesi olduğunda geçiş örneği:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

AIP uygulamaları yapılandırması

Azure Information Protection istemcisiyle çalışırken, Windows'taki AIP uygulamalarınızı doğru bağımsız buluta işaret etmek için aşağıdaki kayıt defteri anahtarlarından birini yapılandırmanız gerekir. Kurulumunuz için doğru değerleri kullandığınızdan emin olun.

• Birleşik etiketleme istemcisi için AIP uygulamaları yapılandırması
• Klasik istemci için AIP uygulamaları yapılandırması

Birleşik etiketleme istemcisi için AIP uygulamaları yapılandırması

İlgili: Yalnızca AIP birleşik etiketleme istemcisi

Kayıt Defteri Düğümü	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Ad	CloudEnvType
Value	0 = Ticari (varsayılan) 1 = GCC 2 = GCC High 3 = DoD
Tür	REG_DWORD

Not

• Bu kayıt defteri anahtarı boş, yanlış veya eksikse, davranış varsayılana döner (0 = Ticari).
• Anahtar boş veya yanlışsa, günlüğe bir yazdırma hatası da eklenir.
• Kaldırdıktan sonra kayıt defteri anahtarını silmediğinizden emin olun.

Klasik istemci için AIP uygulamaları yapılandırması

İlgili: Yalnızca AIP klasik istemcisi

Kayıt Defteri Düğümü	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Ad	WebServiceUrl
Value	https://api.informationprotection.azure.us
Tür	REG_SZ (Dize)

Güvenlik duvarları ve ağ altyapısı altında listelenen tüm ağ önkoşullarına uyduğunuzu doğrulayın

Belirli bağlantılara izin verecek şekilde yapılandırılmış bir güvenlik duvarınız veya benzer bir araya gelen ağ cihazlarınız varsa, Azure Information Protection için sorunsuz iletişim sağlamak için aşağıdaki ayarları kullanın.

• TLS istemciden hizmete bağlantı: rms.aadrm.us URL'sine (örneğin, paket düzeyinde inceleme yapmak için) TLS istemciden hizmete bağlantısını sonlandırmayın.

  İstemci bağlantınızın Azure Rights Management hizmetine ulaşmadan önce sonlandırılıp sonlandırılmadığını belirlemenize yardımcı olması için aşağıdaki PowerShell komutlarını kullanabilirsiniz:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  Sonuç, veren CA'nın bir Microsoft CA'dan geldiğini göstermelidir, örneğin: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Microsoft'tan olmayan bir veren CA adı görüyorsanız, güvenli istemciden hizmete bağlantınız sonlandırılıyor olabilir ve güvenlik duvarınızda yeniden yapılandırılması gerekir.

• Etiketleri ve etiket ilkelerini indirme (yalnızca AIP klasik istemcisi): Azure Information Protection klasik istemcisinin etiket ve etiket ilkelerini indirmesini sağlamak için URL'nin HTTPS üzerinden api.informationprotection.azure.us izin verin.

Daha fazla bilgi için bkz.

• Office 365 ABD Kamu DoD uç noktaları
• Office 365 ABD Kamu GCC Yüksek uç noktaları

Hizmet Etiketleri

Aşağıdaki Hizmet Etiketleri için tüm bağlantı noktalarına erişime izin verin:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend