Popis služby Azure Information Protection Premium Pro státní správu

Poznámka:

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky jsou klasické klienty a správa popisků azure Information Protection na webu Azure Portal zastaralé pro zákazníky GCC, GCC-H a DoD od 31. září 2021.

Klasický klient bude oficiálně vyřazen a přestane fungovat, 31. března 2022.

Všichni aktuální klienti Azure Information Protection musí migrovat na platformu sjednoceného popisování Microsoft Purview Information Protection a upgradovat na klienta sjednoceného popisování. Další informace najdete v našem blogu o migraci.

Jak používat tento popis služby

Jednotné popisování služby Azure Information Protection je k dispozici pro zákazníky GCC, GCC High a DoD.

Popis služby Azure Information Protection Premium Government je navržený tak, aby sloužil jako přehled naší nabídky v prostředích GCC High a DoD a bude zahrnovat varianty funkcí v porovnání s komerčními nabídkami Azure Information Protection Premium.

Azure Information Protection Premium Government a služby třetích stran

Některé služby Azure Information Protection Premium poskytují možnost bezproblémově pracovat s aplikacemi a službami třetích stran.

Tyto aplikace a služby třetích stran můžou zahrnovat ukládání, přenos a zpracování zákaznického obsahu vaší organizace v systémech třetích stran, které nejsou součástí infrastruktury Azure Information Protection Premium, a proto se na ně nevztahují naše závazky týkající se dodržování předpisů a ochrany dat.

Při posuzování vhodného používání těchto služeb pro vaši organizaci zkontrolujte prohlášení o zásadách ochrany osobních údajů a dodržování předpisů poskytovaných třetími stranami.

Parita s prémiovými komerčními nabídkami služby Azure Information Protection

Informace o známých stávajících mezerách mezi Azure Information Protection Premium GCC High/DoD a komerční nabídkou najdete v tématu Dostupnost funkcí cloudu pro zákazníky státní správy USA pro Azure Information Protection.

Konfigurace služby Azure Information Protection pro zákazníky GCC High a DoD

Následující podrobnosti konfigurace jsou relevantní pro všechna řešení Azure Information Protection pro zákazníky GCC High a DoD, včetně sjednocených řešení popisování.

• Povolení služby Rights Management pro tenanta
• Konfigurace DNS pro šifrování (Windows)
• Konfigurace DNS pro šifrování (Mac, iOS, Android)
• Migrace popisků
• Konfigurace aplikací AIP

Důležité

Od aktualizace z července 2020 můžou všichni noví zákazníci GCC High řešení sjednoceného popisování služby Azure Information Protection používat pouze funkce nabídky Obecné i Skener.

Povolení služby Rights Management pro tenanta

Aby šifrování fungovalo správně, musí být pro tenanta povolená služba Rights Management.

• Kontrola, jestli je povolená služba Rights Management
  • Spuštění PowerShellu jako správce
  • Spuštění Install-Module aadrm , pokud není nainstalovaný modul AADRM
  • Připojení ke službě pomocí Connect-aadrmservice -environmentname azureusgovernment
  • Spusťte (Get-AadrmConfiguration).FunctionalState a zkontrolujte, jestli je stav Enabled
• Pokud je Disabledfunkční stav, spusťte Enable-Aadrm

Konfigurace DNS pro šifrování (Windows)

Aby šifrování fungovalo správně, klientské aplikace Office se musí připojit k instanci služby GCC, GCC High/DoD a odtud spustit. Aby bylo možné přesměrovat klientské aplikace na správnou instanci služby, musí správce tenanta nakonfigurovat záznam SRV DNS s informacemi o adrese URL služby Azure RMS. Bez záznamu DNS SRV se klientská aplikace pokusí ve výchozím nastavení připojit k instanci veřejného cloudu a selže.

Předpokládá se také, že se uživatelé budou přihlašovat pomocí uživatelského jména založeného na doméně vlastněné tenantem (například: joe@contoso.us), a ne pomocí uživatelského jména onmicrosoft (například: joe@contoso.onmicrosoft.us). Název domény z uživatelského jména se používá pro přesměrování DNS na správnou instanci služby.

• Získání ID služby Rights Management
  • Spuštění PowerShellu jako správce
  • Pokud modul AADRM není nainstalovaný, spusťte Install-Module aadrm
  • Připojení ke službě pomocí Connect-aadrmservice -environmentname azureusgovernment
  • Spuštěním (Get-aadrmconfiguration).RightsManagementServiceId získejte ID služby Rights Management.
• Přihlaste se ke svému poskytovateli DNS a přejděte do nastavení DNS pro doménu a přidejte nový záznam SRV.
  • Služba = _rmsredir
  • Protokol = _http
  • Name = _tcp
  • Target = [GUID].rms.aadrm.us (kde GUID je ID služby Rights Management)
  • Port = 80
  • Priorita, váha, sekundy, hodnota TTL = výchozí hodnoty
• Přidružte vlastní doménu k tenantovi na webu Azure Portal. Přidružení vlastní domény přidá položku v DNS, což může trvat několik minut, než se ověří po přidání hodnoty.
• Přihlaste se do Centra pro správu Office a přidejte doménu (příklad: contoso.us) pro vytvoření uživatele. V procesu ověření může být vyžadováno několik dalších změn DNS. Po ověření je možné uživatele vytvořit.

Konfigurace DNS pro šifrování (Mac, iOS, Android)

• Přihlaste se ke svému poskytovateli DNS a přejděte do nastavení DNS pro doménu a přidejte nový záznam SRV.
  • Služba = _rmsdisco
  • Protokol = _http
  • Name = _tcp
  • Target = api.aadrm.us
  • Port = 80
  • Priorita, váha, sekundy, hodnota TTL = výchozí hodnoty

Migrace popisků

Zákazníci GCC High a DoD musí migrovat všechny existující popisky pomocí PowerShellu. Tradiční metody migrace AIP se nevztahují na zákazníky GCC High a DoD.

K migraci stávajících popisků citlivosti použijte rutinu New-Label . Než začnete s migrací, nezapomeňte postupovat podle pokynů pro připojení a spuštění rutiny pomocí Centra zabezpečení a dodržování předpisů.

Příklad migrace, když má existující popisek citlivosti šifrování:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Konfigurace aplikací AIP

Při práci s klientem služby Azure Information Protection musíte nakonfigurovat jeden z následujících klíčů registru tak, aby odkazoval aplikace AIP ve Windows na správný suverénní cloud. Ujistěte se, že pro nastavení používáte správné hodnoty.

• Konfigurace aplikací AIP pro klienta sjednoceného popisování
• Konfigurace aplikací AIP pro klasického klienta

Konfigurace aplikací AIP pro klienta sjednoceného popisování

Relevantní pro: Klient sjednoceného popisování AIP

Uzel registru	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Název	CloudEnvType
Hodnota	0 = Komerční (výchozí) 1 = GCC 2 = GCC High 3 = DoD
Typ	REG_DWORD

Poznámka:

• Pokud je tento klíč registru prázdný, nesprávný nebo chybí, chování se vrátí k výchozímu nastavení (0 = komerční).
• Pokud je klíč prázdný nebo nesprávný, přidá se do protokolu také chyba tisku.
• Po odinstalaci nezapomeňte odstranit klíč registru.

Konfigurace aplikací AIP pro klasického klienta

Relevantní pro: Pouze klasický klient AIP

Uzel registru	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Název	WebServiceUrl
Hodnota	https://api.informationprotection.azure.us
Typ	REG_SZ (řetězec)

Brány firewall a síťová infrastruktura

Pokud máte bránu firewall nebo podobná síťová zařízení nakonfigurovaná tak, aby umožňovala konkrétní připojení, pomocí následujících nastavení zajistíte bezproblémovou komunikaci pro Azure Information Protection.

• Připojení typu klient-služba TLS: Neukončujte připojení typu klient-služba TLS k adrese URL rms.aadrm.us (například k provedení kontroly na úrovni paketů).

  Následující příkazy PowerShellu vám pomůžou určit, jestli se vaše připojení klienta ukončí, než dosáhne služby Azure Rights Management:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  Výsledek by měl ukázat, že vydávající certifikační autorita pochází z certifikační autority Microsoftu, například: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Pokud se zobrazí název vydávající certifikační autority, který není od Microsoftu, je pravděpodobné, že se vaše zabezpečené připojení typu klient-služba ukončí a je potřeba ho na bráně firewall překonfigurovat.

• Stahování popisků a zásad popisků (jenom klasický klient AIP):: Pokud chcete klasickému klientovi služby Azure Information Protection povolit stahování popisků a zásad popisků, povolte adresu URL api.informationprotection.azure.us přes HTTPS.

Další informace naleznete v tématu:

• Koncové body Office 365 pro státní správu USA
• Vysoké koncové body GCC Office 365 pro vládu USA

Značky služeb

Nezapomeňte povolit přístup ke všem portům pro následující značky služeb:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend