Microsoft Purview Information Protection pro Office 365 provozovaný společností 21Vianet
Tento článek popisuje rozdíly mezi podporou Microsoft Purview Information Protection pro Office 365 provozovanými společností 21Vianet a komerčními nabídkami, které jsou omezené na nabídky dříve označované jako Azure Information Protection (AIP), a také konkrétní pokyny ke konfiguraci pro zákazníky v Číně, včetně toho, jak nainstalovat skener ochrany informací a spravovat úlohy kontroly obsahu.
Rozdíly mezi 21Vianetem a komerčními nabídkami
Naším cílem je poskytovat zákazníkům v Číně všechny komerční funkce s podporou Microsoft Purview Information Protection pro Office 365 provozovanou nabídkou 21Vianet, ale chybí některé funkce:
šifrování služba AD RMS (Active Directory Rights Management Services) (AD RMS) se podporuje jenom v Microsoft 365 Apps pro velké organizace (build 11731.10000 nebo novější). Office pro profesionály Plus nepodporuje službu AD RMS.
Migrace ze služby AD RMS na AIP není momentálně dostupná.
Podporuje se sdílení chráněných e-mailů s uživateli v komerčním cloudu.
Sdílení dokumentů a e-mailových příloh s uživateli v komerčním cloudu v současné době není k dispozici. To zahrnuje Office 365 provozovaný uživateli 21Vianet v komerčním cloudu, mimo Office 365 provozovaných uživateli 21Vianet v komerčním cloudu a uživatele s licencí RMS for Individuals.
IRM se sharepointovými weby a knihovnami chráněnými technologií IRM momentálně není k dispozici.
Rozšíření pro mobilní zařízení pro SLUŽBU AD RMS není v současné době k dispozici.
Oblast skeneru portálu dodržování předpisů není pro zákazníky v Číně dostupná. Místo provádění akcí na portálu používejte příkazy PowerShellu, jako je správa a spouštění úloh prohledávání obsahu.
Koncové body sítě pro klienta Microsoft Purview Information Protection v prostředí 21Vianet se liší od koncových bodů požadovaných pro jiné cloudové služby. Vyžaduje se síťové připojení z klientů k následujícím koncovým bodům:
- Stažení zásad popisku a popisků:
*.protection.partner.outlook.cn
- Služba Azure Rights Management:
*.aadrm.cn
- Stažení zásad popisku a popisků:
Sledování dokumentů a odvolání odvolaných uživatelů momentálně nejsou k dispozici.
Konfigurace pro zákazníky ve službě 21Vianet
Konfigurace podpory microsoft Purview Information Protection pro Office 365 provozovaný společností 21Vianet:
Přidejte instanční objekt služby synchronizace Microsoft Information Protection.
Nainstalujte a nakonfigurujte klienta Microsoft Purview Information Protection.
Nakonfigurujte nastavení Windows.
Nainstalujte skener ochrany informací a spravujte úlohy kontroly obsahu.
Krok 1: Povolení služby Rights Management pro tenanta
Aby šifrování fungovalo správně, musí být pro tenanta povolená služba rights management (RMS).
Zkontrolujte, jestli je služba RMS povolená:
- Spusťte PowerShell jako správce.
- Pokud není nainstalovaný modul AIPService, spusťte
Install-Module AipService
příkaz . - Importujte modul pomocí
Import-Module AipService
. - Připojení do služby pomocí
Connect-AipService -environmentname azurechinacloud
. - Spusťte
(Get-AipServiceConfiguration).FunctionalState
a zkontrolujte, jestli jeEnabled
stav .
Pokud je
Disabled
funkční stav , spusťteEnable-AipService
.
Krok 2: Přidání instančního objektu služby Microsoft Information Protection Sync
Instanční objekt služby Synchronizace služby Microsoft Information Protection není ve výchozím nastavení k dispozici v tenantech Azure China a vyžaduje se pro Službu Azure Information Protection. Tento instanční objekt vytvořte ručně pomocí modulu Azure Az PowerShell.
Pokud nemáte nainstalovaný modul Azure Az, nainstalujte ho nebo použijte prostředek, ve kterém je předinstalovaný modul Azure Az, například Azure Cloud Shell. Další informace najdete v tématu Instalace modulu Azure Az PowerShell.
Připojení do služby pomocí rutiny Připojení-AzAccount a
azurechinacloud
názvu prostředí:Connect-azaccount -environmentname azurechinacloud
Pomocí rutiny New-AzADServicePrincipal a
870c4f2e-85b6-4d43-bdda-6ed9a579b725
ID aplikace pro synchronizační službu Microsoft Purview Information Protection vytvořte instanční objekt služby Synchronizace služby Microsoft Information Protection ručně:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
Po přidání instančního objektu přidejte příslušná oprávnění požadovaná ke službě.
Krok 3: Konfigurace šifrování DNS
Aby šifrování fungovalo správně, musí se klientské aplikace Office připojit k instanci služby v Číně a odtud spustit. Aby bylo možné přesměrovat klientské aplikace na správnou instanci služby, musí správce tenanta nakonfigurovat záznam SRV DNS s informacemi o adrese URL služby Azure RMS. Bez záznamu DNS SRV se klientská aplikace pokusí ve výchozím nastavení připojit k instanci veřejného cloudu a selže.
Předpokládá se také, že se uživatelé budou přihlašovat pomocí uživatelského jména založeného na doméně vlastněné tenantem (například joe@contoso.cn
) a ne onmschina
pomocí uživatelského jména (například joe@contoso.onmschina.cn
). Název domény z uživatelského jména se používá pro přesměrování DNS na správnou instanci služby.
Konfigurace šifrování DNS – Windows
Získejte ID SLUŽBY RMS:
- Spusťte PowerShell jako správce.
- Pokud není nainstalovaný modul AIPService, spusťte
Install-Module AipService
příkaz . - Připojení do služby pomocí
Connect-AipService -environmentname azurechinacloud
. - Spuštěním
(Get-AipServiceConfiguration).RightsManagementServiceId
získáte ID SLUŽBY RMS.
Přihlaste se ke svému poskytovateli DNS, přejděte do nastavení DNS pro doménu a přidejte nový záznam SRV.
- Služba =
_rmsredir
- Protokol =
_http
- Name =
_tcp
- Target =
[GUID].rms.aadrm.cn
(kde GUID je ID SLUŽBY RMS) - Priorita, váha, sekundy, hodnota TTL = výchozí hodnoty
- Služba =
Přidružte vlastní doménu k tenantovi na webu Azure Portal. Tím se přidá položka v DNS, která může trvat několik minut, než se ověří po přidání hodnoty do nastavení DNS.
Přihlaste se k Centrum pro správu Microsoftu 365 s odpovídajícími přihlašovacími údaji globálního správce a přidejte doménu (například
contoso.cn
) pro vytvoření uživatele. V procesu ověření se můžou vyžadovat další změny DNS. Po ověření je možné uživatele vytvořit.
Konfigurace šifrování DNS – Mac, iOS, Android
Přihlaste se ke svému poskytovateli DNS, přejděte do nastavení DNS pro doménu a přidejte nový záznam SRV.
- Služba =
_rmsdisco
- Protokol =
_http
- Name =
_tcp
- Target =
api.aadrm.cn
- Port =
80
- Priorita, váha, sekundy, hodnota TTL = výchozí hodnoty
Krok 4: Instalace a konfigurace klienta popisování
Stáhněte a nainstalujte klienta služby Microsoft Purview Information Protection z webu Stažení softwaru.
Další informace naleznete v tématu:
- Rozšíření popisků citlivosti ve Windows
- Klient Microsoft Purview Information Protection – Správa verzí a možnosti podpory
Krok 5: Konfigurace nastavení Windows
Systém Windows potřebuje pro ověření následující klíč registru, který bude odkazovat na správný suverénní cloud pro Azure China:
- Uzel registru =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Name =
CloudEnvType
- Hodnota =
6
(výchozí = 0) - Typ =
REG_DWORD
Důležité
Ujistěte se, že po odinstalaci neodstraníte klíč registru. Pokud je klíč prázdný, nesprávný nebo neexistující, funkce se budou chovat jako výchozí hodnota (výchozí hodnota = 0 pro komerční cloud). Pokud je klíč prázdný nebo nesprávný, přidá se do protokolu také chyba tisku.
Krok 6: Instalace skeneru ochrany informací a správa úloh kontroly obsahu
Nainstalujte skener Microsoft Purview Information Protection, který prohledává citlivá data v síti a sdílených složkách obsahu, a použijte klasifikace a popisky ochrany nakonfigurované v zásadách vaší organizace.
Při konfiguraci a správě úloh prohledávání obsahu použijte místo Portál dodržování předpisů Microsoft Purview, které komerční nabídky používají, následující postup.
Další informace najdete v tématu Informace o skeneru ochrany informací a správě úloh kontroly obsahu pouze pomocí PowerShellu.
Instalace a konfigurace skeneru:
Přihlaste se k počítači s Windows Serverem, na který se spustí skener. Použijte účet, který má oprávnění místního správce a který má oprávnění k zápisu do hlavní databáze SQL Serveru.
Začněte zavřeným PowerShellem. Pokud jste dříve nainstalovali skener ochrany informací, ujistěte se, že je služba Microsoft Purview Information Protection Scanner zastavená.
Otevřete relaci Prostředí Windows PowerShell s možností Spustit jako správce .
Spusťte rutinu Install-Scanner , zadejte instanci SYSTÉMU SQL Server, ve které chcete vytvořit databázi pro skener Microsoft Purview Information Protection a smysluplný název pro váš cluster skeneru.
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
Tip
Stejný název clusteru můžete použít v příkazu Install-Scanner k přidružení více uzlů skeneru ke stejnému clusteru. Použití stejného clusteru pro více uzlů skeneru umožňuje, aby několik skenerů spolupracovalo na provádění kontrol.
Pomocí služby Správa istrative Tools>Services ověřte, že je služba nainstalovaná.
Nainstalovaná služba má název Microsoft Purview Information Protection Scanner a je nakonfigurovaná tak, aby běžela pomocí účtu služby skeneru, který jste vytvořili.
Získejte token Azure pro použití se skenerem. Token Microsoft Entra umožňuje skeneru ověřit se ve službě Azure Information Protection, která skeneru umožňuje neinteraktivně spouštět.
Otevřete web Azure Portal a vytvořte aplikaci Microsoft Entra, která určí přístupový token pro ověřování. Další informace najdete v tématu Popisování souborů neinteraktivně pro Azure Information Protection.
Tip
Při vytváření a konfiguraci aplikací Microsoft Entra pro příkaz Set-Authentication se v podokně Oprávnění rozhraní API požadavku zobrazí rozhraní API, která moje organizace používámísto karty Microsoft API. Vyberte rozhraní API, která moje organizace používá k výběru služby Azure Rights Management Services.
Pokud byl na počítači s Windows Serverem udělen účet služby skeneru místně, přihlaste se pomocí tohoto účtu a spusťte relaci PowerShellu.
Pokud se vašemu účtu služby skeneru nedá udělit oprávnění k místnímu přihlášení pro instalaci, použijte parametr OnBehalfOf s nastavením ověřování, jak je popsáno v tématu Popisování souborů neinteraktivně pro Azure Information Protection.
Spusťte Set-Authentication a zadejte hodnoty zkopírované z vaší aplikace Microsoft Entra:
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Příklad:
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
Skener teď má token pro ověření pro MICROSOFT Entra ID. Tento token je platný po dobu jednoho roku, dvou let nebo nikdy podle vaší konfigurace tajného klíče klienta /API webové aplikace v Microsoft Entra ID. Po vypršení platnosti tokenu je nutné tento postup zopakovat.
Spuštěním rutiny Set-ScannerConfiguration nastavte skener tak, aby fungoval v offline režimu. Run (Spuštění):
Set-ScannerConfiguration -OnlineConfiguration Off
Spuštěním rutiny Set-ScannerContentScanJob vytvořte výchozí úlohu kontroly obsahu.
Jediný povinný parametr v rutině Set-ScannerContentScanJob je Enforce. V tuto chvíli ale můžete chtít definovat další nastavení pro úlohu kontroly obsahu. Příklad:
Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
Výše uvedená syntaxe konfiguruje následující nastavení, zatímco budete pokračovat v konfiguraci:
- Udržuje plánování spuštění skeneru do ručního
- Nastaví typy informací, které se mají zjistit na základě zásad popisků citlivosti.
- Nevynucuje zásadu popisování citlivosti.
- Automaticky označí soubory na základě obsahu pomocí výchozího popisku definovaného pro zásady popisování citlivosti.
- Nepovoluje opětovné označování souborů.
- Zachovává podrobnosti o souboru při kontrole a automatickém popisování, včetně data změny, poslední změny a změny podle hodnot.
- Nastaví skener tak, aby při spuštění vyloučil soubory .msg a .tmp.
- Nastaví výchozího vlastníka na účet, který chcete použít při spuštění skeneru.
Pomocí rutiny Add-ScannerRepository definujte úložiště, která chcete kontrolovat v úloze kontroly obsahu. Například spusťte:
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
V závislosti na typu úložiště, které přidáváte, použijte jednu z následujících syntaxí:
- Pro sdílenou síťovou složku použijte
\\Server\Folder
. - Pro sharepointovou knihovnu použijte
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Pro místní cestu:
C:\Folder
- Pro cestu UNC:
\\Server\Folder
Poznámka:
Zástupné cardy nejsou podporovány a umístění WebDav nejsou podporována.
Pokud chcete úložiště později upravit, použijte místo toho rutinu Set-ScannerRepository .
- Pro sdílenou síťovou složku použijte
Podle potřeby pokračujte následujícími kroky:
- Spuštění cyklu zjišťování a zobrazení sestav skeneru
- Použití PowerShellu ke konfiguraci skeneru pro použití klasifikace a ochrany
- Konfigurace zásad ochrany před únikem informací pomocí skeneru pomocí PowerShellu
Následující tabulka uvádí rutiny PowerShellu, které jsou relevantní pro instalaci skeneru a správu úloh kontroly obsahu:
Rutina | Popis |
---|---|
Add-ScannerRepository | Přidá do úlohy kontroly obsahu nové úložiště. |
Get-ScannerConfiguration | Vrátí podrobnosti o clusteru. |
Get-ScannerContentScan | Získá podrobnosti o vaší úloze kontroly obsahu. |
Get-ScannerRepository | Získá podrobnosti o úložištích definovaných pro vaši úlohu kontroly obsahu. |
Remove-ScannerContentScan | Odstraní úlohu kontroly obsahu. |
Remove-ScannerRepository | Odebere úložiště z úlohy kontroly obsahu. |
Set-ScannerContentScan | Definuje nastavení pro úlohu kontroly obsahu. |
Set-ScannerRepository | Definuje nastavení pro existující úložiště v úloze kontroly obsahu. |
Další informace naleznete v tématu: