Microsoft Purview Information Protection para Office 365 operado por 21Vianet
En este artículo se tratan las diferencias entre la compatibilidad de Microsoft Purview Information Protection con Office 365 operada por 21Vianet y ofertas comerciales que se limitan a ofrecer ofertas anteriormente conocidas como Azure Information Protection (AIP), así como instrucciones de configuración específicas para los clientes de China, incluido cómo instalar el analizador de protección de la información y administrar trabajos de examen de contenido.
Diferencias entre 21Vianet y ofertas comerciales
Aunque nuestro objetivo es ofrecer todas las características y funcionalidades comerciales a los clientes de China con nuestra compatibilidad de Microsoft Purview Information Protection con office 365 operado por la oferta de 21Vianet, falta alguna funcionalidad:
El cifrado de Active Directory Rights Management Services (AD RMS) solo se admite en Aplicaciones Microsoft 365 para empresas (compilación 11731.10000 o posterior). Office Profesional Plus no admite AD RMS.
La migración de AD RMS a AIP no está disponible actualmente.
Se admite el uso compartido de correos electrónicos protegidos con usuarios en la nube comercial.
El uso compartido de documentos y datos adjuntos de correo electrónico con los usuarios de la nube comercial no está disponible actualmente. Esto incluye Office 365 operado por usuarios de 21Vianet en la nube comercial, no Office 365 operado por usuarios de 21Vianet en la nube comercial y usuarios con una licencia RMS para particulares.
IRM con SharePoint (sitios y bibliotecas protegidos por IRM) no está disponible actualmente.
La extensión de dispositivo móvil para AD RMS no está disponible actualmente.
El Visor móvil no es compatible con Azure China 21Vianet.
El área de escáner del portal de cumplimiento no está disponible para los clientes de China. Use comandos de PowerShell en lugar de realizar acciones en el portal, como administrar y ejecutar los trabajos de examen de contenido.
Los puntos de conexión de red para el cliente de Microsoft Purview Information Protection dentro del entorno de 21Vianet son diferentes de los puntos de conexión necesarios para otros servicios en la nube. Se requiere conectividad de red de clientes a los siguientes puntos de conexión:
- Descargue las directivas de etiquetas y etiquetas:
*.protection.partner.outlook.cn
- Azure Rights Management Service:
*.aadrm.cn
- Descargue las directivas de etiquetas y etiquetas:
El seguimiento de documentos y la revocación por parte de los usuarios no están disponibles actualmente.
Configuración para clientes en 21Vianet
Para configurar la compatibilidad de Microsoft Purview Information Protection con Office 365 operado por 21Vianet:
Agregue la entidad de servicio de sincronización de Microsoft Information Protection.
Instale y configure el cliente de Microsoft Purview Information Protection.
Configure las opciones de Windows.
Instale el analizador de protección de información y administre los trabajos de examen de contenido.
Paso 1: Habilitar Rights Management para el inquilino
Para que el cifrado funcione correctamente, el servicio de administración de derechos (RMS) debe estar habilitado para el inquilino.
Compruebe si RMS está habilitado:
- Inicie PowerShell como administrador.
- Si el módulo AIPService no está instalado, ejecute
Install-Module AipService
. - Importe el módulo utilizando
Import-Module AipService
. - Conéctese al servicio utilizando
Connect-AipService -environmentname azurechinacloud
. - Ejecute
(Get-AipServiceConfiguration).FunctionalState
y compruebe si el estado esEnabled
.
Si el estado funcional es
Disabled
, ejecuteEnable-AipService
.
Paso 2: Agregar la entidad de servicio de sincronización de Microsoft Information Protection
La entidad de servicio Servicio de sincronización de Microsoft Information Protection no está disponible en los inquilinos de Azure China de forma predeterminada y es necesaria para Azure Information Protection. Cree esta entidad de servicio manualmente a través del módulo de Azure Az PowerShell.
Si no tiene instalado el módulo de Azure Az, instálelo o use un recurso en el que el módulo Azure Az esté preinstalado, como Azure Cloud Shell. Para más información, consulte Instalación del módulo Azure Az PowerShell.
Conecte el servicio mediante el cmdlet Connect-AzAccount y el nombre del entorno
azurechinacloud
:Connect-azaccount -environmentname azurechinacloud
Cree manualmente la entidad de servicio Servicio de sincronización de Microsoft Information Protection mediante el cmdlet New-AzADServicePrincipal y el identificador de aplicación
870c4f2e-85b6-4d43-bdda-6ed9a579b725
del servicio de sincronización de Microsoft Purview Information Protection:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
Después de agregar la entidad de servicio, agregue los permisos pertinentes necesarios para el servicio.
Paso 3: Configuración del cifrado DNS
Para que el cifrado funcione correctamente, las aplicaciones cliente de Office deben conectarse a la instancia de China del servicio y arrancar desde allí. Para redirigir las aplicaciones cliente a la instancia de servicio correcta, el administrador de inquilinos debe configurar un registro SRV de DNS con información sobre la dirección URL de Azure RMS. Sin el registro SRV de DNS, la aplicación cliente intentará conectarse a la instancia de nube pública de forma predeterminada y producirá un error.
Además, la suposición es que los usuarios iniciarán sesión con un nombre de usuario basado en el dominio propiedad del inquilino (por ejemplo, joe@contoso.cn
) y no el nombre de usuario onmschina
(por ejemplo, joe@contoso.onmschina.cn
). El nombre de dominio del nombre de usuario se usa para el redireccionamiento DNS a la instancia de servicio correcta.
Configuración del cifrado DNS: Windows
Obtenga el identificador de RMS:
- Inicie PowerShell como administrador.
- Si el módulo AIPService no está instalado, ejecute
Install-Module AipService
. - Conéctese al servicio utilizando
Connect-AipService -environmentname azurechinacloud
. - Ejecute
(Get-AipServiceConfiguration).RightsManagementServiceId
para obtener el identificador de RMS.
Inicie sesión en el proveedor DNS, vaya a la configuración de DNS del dominio y agregue un nuevo registro SRV.
- Servicio =
_rmsredir
- Protocolo =
_http
- Nombre =
_tcp
- Objetivo =
[GUID].rms.aadrm.cn
(donde GUID es el Id. de RMS) - Prioridad, Peso, Segundos, TTL = valores predeterminados
- Servicio =
Asocie el dominio personalizado al inquilino en Azure Portal. Esto agregará una entrada en DNS, que puede tardar varios minutos en comprobarse después de agregar el valor a la configuración de DNS.
Inicie sesión en el Centro de administración de Microsoft 365 con las credenciales de administrador global correspondientes y agregue el dominio (por ejemplo,
contoso.cn
) para la creación de usuarios. En el proceso de comprobación, es posible que se requieran cambios de DNS adicionales. Una vez finalizada la comprobación, se pueden crear usuarios.
Configuración del cifrado DNS: Mac, iOS, Android
Inicie sesión en el proveedor DNS, vaya a la configuración de DNS del dominio y agregue un nuevo registro SRV.
- Servicio =
_rmsdisco
- Protocolo =
_http
- Nombre =
_tcp
- Destino =
api.aadrm.cn
- Puerto =
80
- Prioridad, Peso, Segundos, TTL = valores predeterminados
Paso 4: Instalar y configurar el cliente de etiquetado
Descargue e instale el cliente de Microsoft Purview Information Protection desde el Centro de descarga de Microsoft.
Para más información, vea:
- Ampliar el etiquetado de confidencialidad en Windows
- Cliente de Microsoft Purview Information Protection: administración de versiones y compatibilidad
Paso 5: Configurar las opciones de Windows
Windows necesita la siguiente clave del Registro para la autenticación para que apunte a la nube soberana correcta para Azure China:
- Nodo del registro =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Nombre =
CloudEnvType
- Valor =
6
(predeterminado = 0) - Tipo =
REG_DWORD
Importante
Asegúrese de no eliminar la clave del registro después de una desinstalación. Si la clave está vacía, incorrecta o no existente, la funcionalidad se comportará como el valor predeterminado (valor predeterminado = 0 para la nube comercial). Si la clave está vacía o es incorrecta, también se agrega un error de impresión al registro.
Paso 6: Instalación del analizador de protección de información y administración de trabajos de examen de contenido
Instale el escáner Microsoft Purview Information Protection para analizar la red y los contenidos compartidos en busca de datos confidenciales, y aplique etiquetas de clasificación y protección según lo configurado en la directiva de su organización.
Al configurar y administrar los trabajos de análisis de contenido, use el procedimiento siguiente en lugar de la portal de cumplimiento Microsoft Purview que usan las ofertas comerciales.
Para obtener más información, consulte Más información sobre el analizador de protección de información y Administración de los trabajos de examen de contenido con PowerShell únicamente.
Para instalar y configurar el analizador:
Inicie sesión en el equipo con Windows Server que ejecutará el analizador. Use una cuenta que tenga derechos de administrador local y permisos para escribir en la base de datos maestra de SQL Server.
Comience con PowerShell cerrado. Si ha instalado previamente el analizador de protección de información, asegúrese de que el servicio Analizador de Information Protection de Microsoft Purview está detenido.
Abra una sesión de Windows PowerShell con la opción Ejecutar como administrador.
Ejecute el cmdlet Install-Scanner , especificando la instancia de SQL Server en la que se va a crear una base de datos para el analizador de Microsoft Purview Information Protection y un nombre descriptivo para el clúster del analizador.
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
Sugerencia
Puede usar el mismo nombre de clúster en el comando Install-Scanner para asociar varios nodos del analizador al mismo clúster. El uso del mismo clúster para varios nodos de escáner permite que varios escáneres funcionen juntos para realizar los exámenes.
Compruebe que el servicio esté ahora instalado mediante Herramientas administrativas>Servicios.
El servicio instalado se denomina Analizador de Information Protection de Microsoft Purview y está configurado para ejecutarse mediante la cuenta de servicio del analizador que creó.
Obtenga un token de Azure para usarlo con el analizador. Un token de Microsoft Entra permite que el analizador se autentique en el servicio Azure Information Protection, lo que permite que el analizador se ejecute de forma no interactiva.
Abra el portal Azure y cree una aplicación Microsoft Entra para especificar un token de acceso para la autenticación. Para más información, consulte Cómo etiquetar archivos no interactivos para Azure Information Protection.
Sugerencia
Al crear y configurar aplicaciones de Microsoft Entra para el comando Set-Authentication , el panel Solicitar permisos de API muestra las API que usa mi organización en lugar de la pestaña API de Microsoft . Seleccione las API que usa mi organización para seleccionar Azure Rights Management Services.
Desde el equipo con Windows Server, si la cuenta de servicio del analizador tiene concedido el derecho Iniciar sesión localmente para la instalación, inicie sesión con esta cuenta e inicie una sesión de PowerShell.
Si no se puede conceder a la cuenta de servicio del analizador el derecho Iniciar sesión localmente para la instalación, use el parámetro OnBehalfOf con Set-Authentication, como se describe en Cómo etiquetar archivos de forma no interactiva para Azure Information Protection.
Ejecute Set-Authentication y especifique los valores copiados de la aplicación Microsoft Entra:
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Por ejemplo:
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
El escáner dispone ahora de un token para autenticarse en Microsoft Entra ID. Este token es válido durante un año, dos años o nunca, según la configuración del secreto de cliente de la aplicación web/API en Microsoft Entra ID. Cuando expire el token, debe repetir este procedimiento.
Ejecute el cmdlet Set-ScannerConfiguration para establecer el analizador en función en modo sin conexión. Ejecute:
Set-ScannerConfiguration -OnlineConfiguration Off
Ejecute el cmdlet Set-ScannerContentScanJob para crear un trabajo de examen de contenido predeterminado.
El único parámetro necesario en el cmdlet Set-ScannerContentScanJob es Enforce. Sin embargo, es posible que quiera definir otras opciones de configuración para el trabajo de examen de contenido en este momento. Por ejemplo:
Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
La sintaxis anterior configura las siguientes opciones mientras continúa la configuración:
- Mantiene la programación de ejecución del analizador en manual
- Establece los tipos de información que se van a detectar en función de la directiva de etiquetado de confidencialidad.
- No aplica una directiva de etiquetado de confidencialidad
- Etiqueta automáticamente los archivos en función del contenido, con la etiqueta predeterminada definida para la directiva de etiquetado de confidencialidad.
- No permite volver a etiquetar archivos
- Conserva los detalles del archivo al examinar y etiquetar automáticamente, incluida la fecha modificada, la última modificación y la modificación por valores.
- Establece el analizador para excluir archivos .msg y .tmp cuando se ejecuta
- Establece el propietario predeterminado en la cuenta que desea usar al ejecutar el analizador.
Use el cmdlet Add-ScannerRepository para definir los repositorios que desea examinar en el trabajo de examen de contenido. Por ejemplo, ejecute:
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Use una de las sintaxis siguientes, en función del tipo de repositorio que vaya a agregar:
- Para un recurso compartido de red, use
\\Server\Folder
. - Para una biblioteca de SharePoint, use
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Para una ruta de acceso local:
C:\Folder
- Para una ruta de acceso UNC:
\\Server\Folder
Nota:
No se admiten caracteres comodín y no se admiten ubicaciones de WebDav.
Para modificar el repositorio más adelante, use el cmdlet Set-ScannerRepository en su lugar.
- Para un recurso compartido de red, use
Continúe con los siguientes pasos según sea necesario:
- Ejecución de un ciclo de detección y visualización de los informes del analizador
- Usar PowerShell para configurar el escáner para aplicar la clasificación y la protección
- Uso de PowerShell para configurar una directiva DLP con el analizador
En la tabla siguiente se enumeran los cmdlets de PowerShell que son pertinentes para instalar el analizador y administrar los trabajos de examen de contenido:
Cmdlet | Descripción |
---|---|
Add-ScannerRepository | Añade un nuevo repositorio a su trabajo de escaneado de contenidos. |
Get-ScannerConfiguration | Devuelve detalles sobre el clúster. |
Get-ScannerContentScan | Obtiene detalles sobre el trabajo de examen de contenido. |
Get-ScannerRepository | Obtiene detalles sobre los repositorios definidos para el trabajo de examen de contenido. |
Remove-ScannerContentScan | Elimina el trabajo de examen de contenido. |
Remove-ScannerRepository | Quita un repositorio del trabajo de examen de contenido. |
Set-ScannerContentScan | Define la configuración del trabajo de examen de contenido. |
Set-ScannerRepository | Define la configuración de un repositorio existente en el trabajo de examen de contenido. |
Para más información, vea: