21Vianet tarafından sağlanan Office 365 için Azure Information Protection desteği

Bu makale, 21Vianet tarafından sağlanan Office 365 için Azure Information Protection (AIP) desteği ile ticari teklifler arasındaki farkların yanı sıra Çin'deki müşteriler için AIP'yi yapılandırmaya yönelik bilgi koruma tarayıcısını yükleme ve içerik tarama işlerini yönetme gibi belirli yönergeleri kapsar.

21Vianet tarafından sağlanan Office 365 için AIP ile ticari teklifler arasındaki farklar

Hedefimiz, 21Vianet tarafından sağlanan Office 365 için AIP teklifimizle Tüm ticari özellikleri ve işlevleri Çin'deki müşterilere sunmak olsa da, vurgulamak istediğimiz bazı eksik işlevler vardır.

Aşağıda, 21Vianet tarafından sağlanan Office 365 için AIP ile ticari tekliflerimiz arasındaki boşlukların listesi yer alır:

• Active Directory Rights Management Services (AD RMS) şifrelemesi yalnızca Kurumlar için Microsoft 365 Uygulamaları (derleme 11731.10000 veya üzeri) desteklenir. Office Profesyonel Plus, AD RMS'i desteklemez.

• AD RMS'den AIP'ye geçiş şu anda kullanılamıyor.

• Korumalı e-postaların ticari buluttaki kullanıcılarla paylaşılması desteklenir.

• Belgelerin ve e-posta eklerinin ticari buluttaki kullanıcılarla paylaşılması şu anda kullanılamıyor. Buna ticari buluttaki 21Vianet kullanıcıları tarafından sağlanan Office 365, ticari buluttaki 21Vianet kullanıcıları tarafından sağlanan Office 365 dışı kullanıcılar ve Kişiler için RMS lisansı olan kullanıcılar dahildir.

• SharePoint ile IRM (IRM korumalı siteler ve kitaplıklar) şu anda kullanılamıyor.

• AD RMS için Mobil Cihaz Uzantısı şu anda kullanılamıyor.

• Mobil Görüntüleyici, Azure China 21Vianet tarafından desteklenmez.

• Uyumluluk portalının tarayıcı alanı Çin'deki müşteriler tarafından kullanılamıyor. portalda içerik tarama işlerinizi yönetme ve çalıştırma gibi eylemler gerçekleştirmek yerine PowerShell komutlarını kullanın.

• 21Vianet tarafından sağlanan Office 365'teki AIP uç noktaları, diğer bulut hizmetleri için gereken uç noktalardan farklıdır. İstemcilerden aşağıdaki uç noktalara ağ bağlantısı gereklidir:

  • Etiket ve etiket ilkelerini indirin: *.protection.partner.outlook.cn
  • Azure Rights Management hizmeti: *.aadrm.cn

• kullanıcılar tarafından Belge İzleme ve İptal şu anda kullanılamıyor.

Çin'deki müşteriler için AIP'yi yapılandırma

Çin'deki müşteriler için AIP'yi yapılandırmak için:

1. Kiracı için Rights Management'i etkinleştirin.

2. Microsoft Information Protection Eşitleme Hizmeti hizmet sorumlusunu ekleyin.

3. DNS şifrelemeyi yapılandırın.

4. AIP birleşik etiketleme istemcisini yükleyin ve yapılandırın.

5. Windows'da AIP uygulamalarını yapılandırın.

6. Bilgi koruma tarayıcısını yükleyin ve içerik tarama işlerini yönetin.

1. Adım: Kiracı için Rights Management'ı etkinleştirme

Şifrelemenin düzgün çalışması için kiracı için RMS'nin etkinleştirilmesi gerekir.

1. RMS'nin etkinleştirilip etkinleştirilmediğini denetleyin:

   1. PowerShell'i yönetici olarak başlatın.
   2. AIPService modülü yüklü değilse komutunu çalıştırın Install-Module AipService.
   3. kullanarak Import-Module AipServicemodülü içeri aktarın.
   4. kullanarak Connect-AipService -environmentname azurechinacloudhizmete Bağlan.
   5. komutunu çalıştırın (Get-AipServiceConfiguration).FunctionalState ve durumunun olup Enabledolmadığını denetleyin.

2. İşlevsel durum ise Disabledkomutunu çalıştırın Enable-AipService.

2. Adım: Microsoft Information Protection Eşitleme Hizmeti hizmet sorumlusunu ekleme

Microsoft Information Protection Eşitleme Hizmeti hizmet sorumlusu, Azure Çin kiracılarında varsayılan olarak kullanılamaz ve Azure Information Protection için gereklidir. Bu hizmet sorumlusunu Azure Az PowerShell modülü aracılığıyla el ile oluşturun.

1. Azure Az modülü yüklü değilse yükleyin veya Azure Az modülünün önceden yüklenmiş olarak geldiği Azure Cloud Shell gibi bir kaynak kullanın. Daha fazla bilgi için Azure Az PowerShell modülünü yükleme bölümüne bakın.

2. Bağlan-AzAccount cmdlet'ini ve azurechinacloud ortam adını kullanarak hizmete Bağlan:

   Connect-azaccount -environmentname azurechinacloud
   

3. New-AzADServicePrincipal cmdlet'ini ve Microsoft Purview Bilgi Koruması Eşitleme Hizmeti'nin 870c4f2e-85b6-4d43-bdda-6ed9a579b725 uygulama kimliğini kullanarak Microsoft Information Protection Eşitleme Hizmeti hizmet sorumlusunu el ile oluşturun:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. Hizmet sorumlusunu ekledikten sonra, hizmete gereken ilgili izinleri ekleyin.

3. Adım: DNS şifrelemeyi yapılandırma

Şifrelemenin düzgün çalışması için Office istemci uygulamalarının hizmetin Çin örneğine bağlanması ve oradan önyükleme yapması gerekir. İstemci uygulamalarını doğru hizmet örneğine yeniden yönlendirmek için kiracı yöneticisinin Azure RMS URL'si hakkında bilgi içeren bir DNS SRV kaydı yapılandırması gerekir. DNS SRV kaydı olmadan istemci uygulaması varsayılan olarak genel bulut örneğine bağlanmayı dener ve başarısız olur.

Ayrıca, kullanıcıların kullanıcı adını değil onmschina kiracıya ait etki alanını (örneğin, joe@contoso.cn) temel alan bir kullanıcı adıyla oturum açacağı varsayımı da vardır. joe@contoso.onmschina.cn Dns'in doğru hizmet örneğine yeniden yönlendirmesi için kullanıcı adından etki alanı adı kullanılır.

DNS şifrelemeyi yapılandırma - Windows

1. RMS kimliğini alın:

   1. PowerShell'i yönetici olarak başlatın.
   2. AIPService modülü yüklü değilse komutunu çalıştırın Install-Module AipService.
   3. kullanarak Connect-AipService -environmentname azurechinacloudhizmete Bağlan.
   4. RMS kimliğini almak için komutunu çalıştırın (Get-AipServiceConfiguration).RightsManagementServiceId .

2. DNS sağlayıcınızda oturum açın, etki alanının DNS ayarlarına gidin ve yeni bir SRV kaydı ekleyin.

   • Hizmet = _rmsredir
   • Protokol = _http
   • Ad = _tcp
   • Hedef = [GUID].rms.aadrm.cn (burada GUID, RMS kimliğidir)
   • Öncelik, Ağırlık, Saniye, TTL = varsayılan değerler

3. Özel etki alanını Azure portalındaki kiracıyla ilişkilendirin. Bu, DNS ayarlarına değeri ekledikten sonra doğrulanabilen bir DNS girdisi ekler.

4. Microsoft 365 yönetim merkezi ilgili genel yönetici kimlik bilgileriyle oturum açın ve kullanıcı oluşturmak için etki alanını (örneğin, contoso.cn) ekleyin. Doğrulama işleminde ek DNS değişiklikleri gerekebilir. Doğrulama tamamlandıktan sonra kullanıcılar oluşturulabilir.

DNS şifrelemesini yapılandırma - Mac, iOS, Android

DNS sağlayıcınızda oturum açın, etki alanının DNS ayarlarına gidin ve yeni bir SRV kaydı ekleyin.

• Hizmet = _rmsdisco
• Protokol = _http
• Ad = _tcp
• Hedef = api.aadrm.cn
• Bağlantı noktası = 80
• Öncelik, Ağırlık, Saniye, TTL = varsayılan değerler

4. Adım: AIP birleşik etiketleme istemcisini yükleme ve yapılandırma

Microsoft İndirme Merkezi'nden AIP birleşik etiketleme istemcisini indirin ve yükleyin.

Daha fazla bilgi için bkz.

• AIP belgeleri
• AIP sürüm geçmişi ve destek ilkesi
• AIP sistem gereksinimleri
• AIP hızlı başlangıcı: AIP istemcisini dağıtma
• AIP yönetici kılavuzu
• AIP kullanıcı kılavuzu
• Duyarlılık etiketleri hakkında daha fazla bilgi

5. Adım: Windows'ta AIP uygulamalarını yapılandırma

Windows üzerindeki AIP uygulamaları, Azure Çin için doğru bağımsız buluta işaret etmek için aşağıdaki kayıt defteri anahtarına ihtiyaç duyar:

• Kayıt defteri düğümü = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Ad = CloudEnvType
• Değer = 6 (varsayılan = 0)
• Tür = REG_DWORD

Önemli

Kaldırma sonrasında kayıt defteri anahtarını silmediğinizden emin olun. Anahtar boş, yanlış veya mevcut değilse, işlev varsayılan değer (ticari bulut için varsayılan değer = 0) olarak davranır. Anahtar boş veya yanlışsa, günlüğe bir yazdırma hatası da eklenir.

6. Adım: Bilgi koruma tarayıcısını yükleme ve içerik tarama işlerini yönetme

Ağ ve içerik paylaşımlarınızı hassas veriler için taramak ve kuruluşunuzun ilkesinde yapılandırılan sınıflandırma ve koruma etiketlerini uygulamak için Microsoft Purview Bilgi Koruması tarayıcısını yükleyin.

İçerik tarama işlerinizi yapılandırırken ve yönetirken, ticari teklifler tarafından kullanılan Microsoft Purview uyumluluk portalı yerine aşağıdaki yordamı kullanın.

Daha fazla bilgi için bkz . Bilgi koruma tarayıcısı hakkında bilgi edinme ve yalnızca PowerShell kullanarak içerik tarama işlerinizi yönetme.

Tarayıcınızı yüklemek ve yapılandırmak için:

1. Tarayıcıyı çalıştıracak Windows Server bilgisayarında oturum açın. Yerel yönetici haklarına sahip olan ve SQL Server ana veritabanına yazma izinleri olan bir hesap kullanın.

2. PowerShell kapalı olarak başlayın. AIP istemcisini ve tarayıcısını daha önce yüklediyseniz, AIPScanner hizmetinin durduruldığından emin olun.

3. Yönetici olarak çalıştır seçeneğiyle bir Windows PowerShell oturumu açın.

4. Azure Information Protection tarayıcısı için veritabanı oluşturulacak SQL Server örneğinizi ve tarayıcı kümeniz için anlamlı bir ad belirterek Install-AIPScanner cmdlet'ini çalıştırın.

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   İpucu

   Birden çok tarayıcı düğümlerini aynı kümeyle ilişkilendirmek için Install-AIPScanner komutunda aynı küme adını kullanabilirsiniz. Birden çok tarayıcı düğümü için aynı kümeyi kullanmak, taramalarınızı gerçekleştirmek için birden çok tarayıcının birlikte çalışmasını sağlar.

5. hizmetin artık Yönetici istrative Tools>Services kullanarak yüklendiğini doğrulayın.

   Yüklü hizmet, Azure Information Protection Tarayıcısı olarak adlandırılır ve oluşturduğunuz tarayıcı hizmeti hesabı kullanılarak çalıştırılacak şekilde yapılandırılır.

6. Tarayıcınızla kullanmak için bir Azure belirteci alın. Microsoft Entra belirteci, tarayıcının Azure Information Protection hizmetinde kimlik doğrulaması yapmasına olanak sağlayarak tarayıcının etkileşimli olmayan bir şekilde çalışmasını sağlar.

   1. Azure portalını açın ve kimlik doğrulaması için bir erişim belirteci belirtmek üzere bir Microsoft Entra uygulaması oluşturun. Daha fazla bilgi için bkz . Azure Information Protection için dosyaları etkileşimli olmayan şekilde etiketleme.

      İpucu

      Set-AIPAuthentication komutu için Microsoft Entra uygulamaları oluştururken ve yapılandırırken, API izinlerini isteme bölmesi kuruluşumun Microsoft API'leri sekmesi yerine sekmeyi kullandığı API'leri gösterir. Kuruluşumun kullandığı API'leri seçip Azure Rights Management Services'i seçin.

   2. Windows Server bilgisayarından, tarayıcı hizmet hesabınıza yükleme için yerel olarak oturum açma hakkı verildiyse, bu hesapla oturum açın ve bir PowerShell oturumu başlatın.

      Tarayıcı hizmet hesabınıza yükleme için yerel olarak oturum açma hakkı verilemiyorsa, Dosyaları Azure Information Protection için etkileşimli olmayan olarak etiketleme bölümünde açıklandığı gibi Set-AIPAuthentication ile OnBehalfOf parametresini kullanın.

   3. Microsoft Entra uygulamanızdan kopyalanan değerleri belirterek Set-AIPAuthentication komutunu çalıştırın:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Örneğin:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Tarayıcının artık Microsoft Entra Id kimlik doğrulaması için bir belirteci vardır. Bu belirteç, Microsoft Entra Id'de Web uygulaması /API istemci gizli dizisi yapılandırmanıza göre bir yıl, iki yıl veya hiçbir zaman geçerlidir. Belirtecin süresi dolduğunda bu yordamı yinelemeniz gerekir.

7. Tarayıcıyı çevrimdışı modda çalışacak şekilde ayarlamak için Set-AIPScannerConfiguration cmdlet'ini çalıştırın. Çalıştır:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Varsayılan bir içerik tarama işi oluşturmak için Set-AIPScannerContentScanJob cmdlet'ini çalıştırın.

   Set-AIPScannerContentScanJob cmdlet'inde gerekli olan tek parametre Zorla'dır. Ancak, şu anda içerik tarama işiniz için diğer ayarları tanımlamak isteyebilirsiniz. Örneğin:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   Yukarıdaki söz dizimi, yapılandırmaya devam ederken aşağıdaki ayarları yapılandırıyor:

   • Tarayıcının zamanlamayı el ile çalıştırmasını sağlar
   • Duyarlılık etiketleme ilkesine göre bulunabilecek bilgi türlerini ayarlar
   • Duyarlılık etiketleme ilkesini zorunlu kılmaz
   • Duyarlılık etiketleme ilkesi için tanımlanan varsayılan etiketi kullanarak dosyaları içeriğe göre otomatik olarak etiketler
   • Dosyaların yeniden etiketlenmesine izin vermiyor
   • Değerlere göre değiştirme tarihi, son değiştirme ve değiştirme de dahil olmak üzere tarama ve otomatik etiketleme sırasında dosya ayrıntılarını korur
   • Tarayıcıyı çalıştırırken .msg ve .tmp dosyalarını dışlamak için ayarlar
   • Tarayıcıyı çalıştırırken kullanmak istediğiniz hesabın varsayılan sahibini ayarlar

9. İçerik tarama işinizde taramak istediğiniz depoları tanımlamak için Add-AIPScannerRepository cmdlet'ini kullanın. Örneğin şunu çalıştırın:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Eklediğiniz deponun türüne bağlı olarak aşağıdaki söz dizimlerinden birini kullanın:

   • Ağ paylaşımı için kullanın \\Server\Folder.
   • SharePoint kitaplığı için kullanın http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Yerel yol için: C:\Folder
   • UNC yolu için: \\Server\Folder

   Not

   Joker karakterler desteklenmez ve WebDav konumları desteklenmez.

   Daha sonra depoyu değiştirmek için bunun yerine Set-AIPScannerRepository cmdlet'ini kullanın.

Gerekirse aşağıdaki adımlarla devam edin:

• Keşif döngüsü çalıştırma ve tarayıcının raporlarını görüntüleme
• Tarayıcıyı sınıflandırma ve koruma uygulayacak şekilde yapılandırmak için PowerShell kullanma
• Tarayıcı ile DLP ilkesi yapılandırmak için PowerShell kullanma

Aşağıdaki tabloda, tarayıcıyı yükleme ve içerik tarama işlerinizi yönetmeyle ilgili PowerShell cmdlet'leri listelenir:

Cmdlet	Açıklama
Add-AIPScannerRepository	İçerik tarama işinize yeni bir depo ekler.
Get-AIPScannerConfiguration	Kümenizle ilgili ayrıntıları döndürür.
Get-AIPScannerContentScanJob	İçerik tarama işinizle ilgili ayrıntıları alır.
Get-AIPScannerRepository	İçerik tarama işiniz için tanımlanan depolarla ilgili ayrıntıları alır.
Remove-AIPScannerContentScanJob	İçerik tarama işinizi siler.
Remove-AIPScannerRepository	İçerik tarama işinizden bir depo kaldırır.
Set-AIPScannerContentScanJob	İçerik tarama işinizin ayarlarını tanımlar.
Set-AIPScannerRepository	İçerik tarama işinizdeki mevcut bir deponun ayarlarını tanımlar.

Daha fazla bilgi için bkz.

• Bilgi koruma tarayıcısı hakkında bilgi edinin
• Bilgi koruma tarayıcısını yapılandırma ve yükleme
• yalnızca PowerShell kullanarak içerik tarama işlerinizi yönetme