Azure Information Protection Premium Kamu Hizmeti Açıklaması
Not
Birleşik ve kolaylaştırılmış bir müşteri deneyimi sağlamak için Azure Portal'daki Azure Information Protection klasik istemcisi ve Etiket Yönetimi, 31 Eylül 2021 itibarıyla GCC, GCC-H ve DoD müşterileri için kullanım dışı bırakılmıştır.
Klasik istemci resmi olarak kullanımdan kaldırılacak ve 31 Mart 2022'de çalışmayı durduracaktır.
Tüm geçerli Azure Information Protection klasik istemci müşterilerinin Microsoft Purview Bilgi Koruması birleşik etiketleme platformuna geçmeleri ve birleşik etiketleme istemcisine yükseltmeleri gerekir. Geçiş blogumuzda daha fazla bilgi edinin.
Bu Hizmet Açıklaması nasıl kullanılır?
Azure Information Protection birleşik etiketlemesi GCC, GCC High ve DoD müşterileri için kullanılabilir.
Azure Information Protection Premium Kamu Hizmeti Açıklaması, GCC High ve DoD ortamlarında teklifimize genel bir bakış sağlamak üzere tasarlanmıştır ve Azure Information Protection Premium ticari tekliflerine kıyasla özellik çeşitlemelerini kapsar.
Azure Information Protection Premium Kamu ve üçüncü taraf hizmetleri
Bazı Azure Information Protection Premium hizmetleri, üçüncü taraf uygulamalar ve hizmetlerle sorunsuz bir şekilde çalışma olanağı sağlar.
Bu üçüncü taraf uygulamalar ve hizmetler, kuruluşunuzun müşteri içeriğini Azure Information Protection Premium altyapısının dışındaki üçüncü taraf sistemlerde depolamayı, iletmeyi ve işlemeyi içerebilir ve bu nedenle uyumluluk ve veri koruma taahhütlerimiz kapsamında değildir.
Kuruluşunuz için bu hizmetlerin uygun kullanımını değerlendirirken üçüncü taraflarca sağlanan gizlilik ve uyumluluk bildirimlerini gözden geçirmeyi unutmayın.
Azure Information Protection premium ticari teklifleriyle eşlik
Azure Information Protection Premium GCC High/DoD ile ticari teklif arasındaki bilinen mevcut boşluklar hakkında bilgi edinmek için bkz . Azure Information Protection için ABD Kamu müşterileri için bulut özelliği kullanılabilirliği.
GCC High ve DoD müşterileri için Azure Information Protection'ı yapılandırma
Aşağıdaki yapılandırma ayrıntıları, birleşik etiketleme çözümleri de dahil olmak üzere GCC High ve DoD müşterileri için tüm Azure Information Protection çözümleriyle ilgilidir.
- Kiracı için Rights Management'i etkinleştirme
- Şifreleme için DNS yapılandırması (Windows)
- Şifreleme için DNS yapılandırması (Mac, iOS, Android)
- Etiket geçişi
- AIP uygulamaları yapılandırması
Önemli
Temmuz 2020 güncelleştirmesi itibarıyla, Azure Information Protection birleşik etiketleme çözümünün tüm yeni GCC High müşterileri yalnızca Genel menü ve Tarayıcı menüsü özelliklerinden yararlanabilir.
Kiracı için Rights Management'i etkinleştirme
Şifrelemenin düzgün çalışması için kiracı için Rights Management Hizmeti'nin etkinleştirilmesi gerekir.
- Rights Management hizmetinin etkinleştirilip etkinleştirilmediğini denetleyin
- PowerShell'i Yönetici istrator olarak başlatma
- AADRM modülü yüklü değilse komutunu çalıştırın
Install-Module aadrm
- kullanarak hizmete Bağlan
Connect-aadrmservice -environmentname azureusgovernment
- Komutunu çalıştırın
(Get-AadrmConfiguration).FunctionalState
ve durumunEnabled
- İşlevsel durum ise
Disabled
komutunu çalıştırınEnable-Aadrm
Şifreleme için DNS yapılandırması (Windows)
Şifrelemenin düzgün çalışması için Office istemci uygulamalarının hizmetin GCC, GCC High/DoD örneğine bağlanması ve buradan bootstrap yapması gerekir. İstemci uygulamalarını doğru hizmet örneğine yeniden yönlendirmek için kiracı yöneticisinin Azure RMS URL'si hakkında bilgi içeren bir DNS SRV kaydı yapılandırması gerekir. DNS SRV kaydı olmadan istemci uygulaması varsayılan olarak genel bulut örneğine bağlanmayı dener ve başarısız olur.
Ayrıca, kullanıcıların onmicrosoft kullanıcı adını değil kiracıya ait etki alanını (örneğin: joe@contoso.us) temel alan kullanıcı adıyla oturum açacağı varsayımı da mevcuttur (örneğin: joe@contoso.onmicrosoft.us). Kullanıcı adından gelen etki alanı adı, DNS'nin doğru hizmet örneğine yeniden yönlendirmesi için kullanılır.
- Rights Management Hizmeti Kimliğini Alma
- PowerShell'i Yönetici istrator olarak başlatma
- AADRM modülü yüklü değilse komutunu çalıştırın
Install-Module aadrm
- kullanarak hizmete Bağlan
Connect-aadrmservice -environmentname azureusgovernment
- Rights Management Hizmeti Kimliğini almak için komutunu çalıştırın
(Get-aadrmconfiguration).RightsManagementServiceId
- DNS sağlayıcınızda oturum açın ve yeni bir SRV kaydı eklemek için etki alanının DNS ayarlarına gidin
- Hizmet =
_rmsredir
- Protokol =
_http
- Ad =
_tcp
- Hedef =
[GUID].rms.aadrm.us
(burada GUID, Rights Management Hizmeti Kimliğidir) - Bağlantı noktası =
80
- Öncelik, Ağırlık, Saniye, TTL = varsayılan değerler
- Hizmet =
- Özel etki alanını Azure portalındaki kiracıyla ilişkilendirin. Özel etki alanı ilişkilendirildikten sonra DNS'de bir girdi eklenir ve bu girdinin değeri eklendikten sonra doğrulanması birkaç dakika sürebilir.
- Office Yönetici Merkezi'nde ilgili genel yönetici kimlik bilgileriyle oturum açın ve kullanıcı oluşturmak için etki alanını (örnek: contoso.us) ekleyin. Doğrulama işleminde, daha fazla DNS değişikliği gerekebilir. Doğrulama tamamlandıktan sonra kullanıcılar oluşturulabilir.
Şifreleme için DNS yapılandırması (Mac, iOS, Android)
- DNS sağlayıcınızda oturum açın ve yeni bir SRV kaydı eklemek için etki alanının DNS ayarlarına gidin
- Hizmet =
_rmsdisco
- Protokol =
_http
- Ad =
_tcp
- Hedef =
api.aadrm.us
- Bağlantı noktası =
80
- Öncelik, Ağırlık, Saniye, TTL = varsayılan değerler
- Hizmet =
Etiket geçişi
GCC High ve DoD müşterilerinin PowerShell kullanarak mevcut tüm etiketleri geçirmesi gerekir. Geleneksel AIP geçiş yöntemleri GCC High ve DoD müşterileri için geçerli değildir .
Mevcut duyarlılık etiketlerinizi geçirmek için New-Label cmdlet'ini kullanın. Geçişinize başlamadan önce Güvenlik ve Uyumluluk Merkezi'ni kullanarak cmdlet'e bağlanma ve cmdlet'i çalıştırma yönergelerini izlediğinizden emin olun.
Mevcut bir duyarlılık etiketinin şifrelemesi olduğunda geçiş örneği:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
AIP uygulamaları yapılandırması
Azure Information Protection istemcisiyle çalışırken, Windows'taki AIP uygulamalarınızı doğru bağımsız buluta işaret etmek için aşağıdaki kayıt defteri anahtarlarından birini yapılandırmanız gerekir. Kurulumunuz için doğru değerleri kullandığınızdan emin olun.
- Birleşik etiketleme istemcisi için AIP uygulamaları yapılandırması
- Klasik istemci için AIP uygulamaları yapılandırması
Birleşik etiketleme istemcisi için AIP uygulamaları yapılandırması
İlgili: Yalnızca AIP birleşik etiketleme istemcisi
Kayıt Defteri Düğümü | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
---|---|
Ad | CloudEnvType |
Value | 0 = Ticari (varsayılan) 1 = GCC 2 = GCC High 3 = DoD |
Tür | REG_DWORD |
Not
- Bu kayıt defteri anahtarı boş, yanlış veya eksikse, davranış varsayılana döner (0 = Ticari).
- Anahtar boş veya yanlışsa, günlüğe bir yazdırma hatası da eklenir.
- Kaldırdıktan sonra kayıt defteri anahtarını silmediğinizden emin olun.
Klasik istemci için AIP uygulamaları yapılandırması
İlgili: Yalnızca AIP klasik istemcisi
Kayıt Defteri Düğümü | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
---|---|
Ad | WebServiceUrl |
Value | https://api.informationprotection.azure.us |
Tür | REG_SZ (Dize) |
Güvenlik duvarları ve ağ altyapısı altında listelenen tüm ağ önkoşullarına uyduğunuzu doğrulayın
Belirli bağlantılara izin verecek şekilde yapılandırılmış bir güvenlik duvarınız veya benzer bir araya gelen ağ cihazlarınız varsa, Azure Information Protection için sorunsuz iletişim sağlamak için aşağıdaki ayarları kullanın.
TLS istemciden hizmete bağlantı: rms.aadrm.us URL'sine (örneğin, paket düzeyinde inceleme yapmak için) TLS istemciden hizmete bağlantısını sonlandırmayın.
İstemci bağlantınızın Azure Rights Management hizmetine ulaşmadan önce sonlandırılıp sonlandırılmadığını belirlemenize yardımcı olması için aşağıdaki PowerShell komutlarını kullanabilirsiniz:
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer
Sonuç, veren CA'nın bir Microsoft CA'dan geldiğini göstermelidir, örneğin:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
. Microsoft'tan olmayan bir veren CA adı görüyorsanız, güvenli istemciden hizmete bağlantınız sonlandırılıyor olabilir ve güvenlik duvarınızda yeniden yapılandırılması gerekir.Etiketleri ve etiket ilkelerini indirme (yalnızca AIP klasik istemcisi): Azure Information Protection klasik istemcisinin etiket ve etiket ilkelerini indirmesini sağlamak için URL'nin HTTPS üzerinden api.informationprotection.azure.us izin verin.
Daha fazla bilgi için bkz.
Hizmet Etiketleri
Aşağıdaki Hizmet Etiketleri için tüm bağlantı noktalarına erişime izin verin:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend