Condividi tramite


Descrizione del servizio Azure Information Protection Premium per enti pubblici

Nota

Per offrire un'esperienza cliente unificata e semplificata, il client classico e la gestione delle etichette di Azure Information Protection nel portale di Azure sono deprecati per i clienti GCC, GCC-H e DoD a partire dal 31 settembre 2021.

Il client classico verrà ufficialmente ritirato e smetterà di funzionare, il 31 marzo 2022.

Tutti i clienti client classici di Azure Information Protection correnti devono eseguire la migrazione alla piattaforma di etichettatura unificata di Microsoft Purview Information Protection ed eseguire l'aggiornamento al client di etichettatura unificata. Per altre informazioni, vedere il blog sulla migrazione.

Come usare questa descrizione del servizio

L'etichettatura unificata di Azure Information Protection è disponibile per i clienti GCC, GCC High e DoD.

La descrizione del servizio Azure Information Protection Premium per enti pubblici è progettata per fungere da panoramica dell'offerta negli ambienti GCC High e DoD e illustra le variazioni delle funzionalità rispetto alle offerte commerciali di Azure Information Protection Premium.

Azure Information Protection Premium per enti pubblici e servizi di terze parti

Alcuni servizi Di Azure Information Protection Premium offrono la possibilità di lavorare senza problemi con applicazioni e servizi di terze parti.

Queste applicazioni e servizi di terze parti possono comportare l'archiviazione, la trasmissione e l'elaborazione dei contenuti dei clienti dell'organizzazione su sistemi di terze parti esterni all'infrastruttura Azure Information Protection Premium e pertanto non coperti dagli impegni di conformità e protezione dei dati.

Assicurarsi di esaminare le informative sulla privacy e sulla conformità fornite dalle terze parti quando si valuta l'uso appropriato di questi servizi per l'organizzazione.

Parità con le offerte commerciali Premium di Azure Information Protection

Per informazioni sulle lacune esistenti note tra Azure Information Protection Premium GCC High/DoD e l'offerta commerciale, vedere La disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti per Azure Information Protection.

Configurazione di Azure Information Protection per i clienti GCC High e DoD

I dettagli di configurazione seguenti sono rilevanti per tutte le soluzioni Azure Information Protection per i clienti GCC High e DoD, incluse le soluzioni di etichettatura unificata.

Importante

A partire dall'aggiornamento di luglio 2020, tutti i nuovi clienti GCC High della soluzione di etichettatura unificata di Azure Information Protection possono usare solo le funzionalità del menu Generale e del menu Scanner.

Abilitare Rights Management per il tenant

Affinché la crittografia funzioni correttamente, il servizio Rights Management deve essere abilitato per il tenant.

  • Controllare se il servizio Rights Management è abilitato
    • Avviare PowerShell come amministratore
    • Eseguire Install-Module aadrm se il modulo AADRM non è installato
    • Connettersi al servizio tramite Connect-aadrmservice -environmentname azureusgovernment
    • Eseguire (Get-AadrmConfiguration).FunctionalState e controllare se lo stato è Enabled
  • Se lo stato funzionale è Disabled, eseguire Enable-Aadrm

Configurazione DNS per la crittografia (Windows)

Per il corretto funzionamento della crittografia, le applicazioni client di Office devono connettersi all'istanza GCC, GCC High/DoD del servizio e bootstrap da questa posizione. Per reindirizzare le applicazioni client all'istanza del servizio corretta, l'amministratore tenant deve configurare un record SRV DNS con informazioni sull'URL di Azure RMS. Senza il record SRV DNS, l'applicazione client tenterà di connettersi all'istanza del cloud pubblico per impostazione predefinita e avrà esito negativo.

Si supponga inoltre che gli utenti esemplino l'accesso con il nome utente in base al dominio di proprietà del tenant (ad esempio: joe@contoso.us) e non al nome utente onmicrosoft (ad esempio: joe@contoso.onmicrosoft.us). Il nome di dominio del nome utente viene usato per il reindirizzamento DNS all'istanza del servizio corretta.

  • Ottenere l'ID del servizio Rights Management
    • Avviare PowerShell come amministratore
    • Se il modulo AADRM non è installato, eseguire Install-Module aadrm
    • Connettersi al servizio tramite Connect-aadrmservice -environmentname azureusgovernment
    • Eseguire (Get-aadrmconfiguration).RightsManagementServiceId per ottenere l'ID del servizio Rights Management
  • Accedere al provider DNS e passare alle impostazioni DNS per il dominio per aggiungere un nuovo record SRV
    • Service = _rmsredir
    • Protocollo = _http
    • Name = _tcp
    • Target = [GUID].rms.aadrm.us (dove GUID è l'ID del servizio Rights Management)
    • Porta = 80
    • Priority, Weight, Seconds, TTL = default values
  • Associare il dominio personalizzato al tenant nel portale di Azure. L'associazione del dominio personalizzato aggiungerà una voce in DNS, che potrebbe richiedere alcuni minuti per verificare dopo l'aggiunta del valore.
  • Accedere all'interfaccia di amministrazione di Office e aggiungere il dominio (ad esempio: contoso.us) per la creazione dell'utente. Nel processo di verifica potrebbero essere necessarie altre modifiche DNS. Al termine della verifica, gli utenti possono essere creati.

Configurazione DNS per la crittografia (Mac, iOS, Android)

  • Accedere al provider DNS e passare alle impostazioni DNS per il dominio per aggiungere un nuovo record SRV
    • Service = _rmsdisco
    • Protocollo = _http
    • Name = _tcp
    • Target = api.aadrm.us
    • Porta = 80
    • Priority, Weight, Seconds, TTL = default values

Migrazione delle etichette

I clienti GCC High e DoD devono eseguire la migrazione di tutte le etichette esistenti usando PowerShell. I metodi di migrazione AIP tradizionali non sono applicabili ai clienti GCC High e DoD.

Usare il cmdlet New-Label per eseguire la migrazione delle etichette di riservatezza esistenti. Assicurarsi di seguire le istruzioni per la connessione e l'esecuzione del cmdlet usando il Centro sicurezza e conformità prima di iniziare a eseguire la migrazione.

Esempio di migrazione quando un'etichetta di riservatezza esistente ha la crittografia:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Configurazione delle app AIP

Quando si usa il client Azure Information Protection, è necessario configurare una delle chiavi del Registro di sistema seguenti per puntare le app AIP in Windows al cloud sovrano corretto. Assicurarsi di usare i valori corretti per la configurazione.

Configurazione delle app AIP per il client di etichettatura unificata

Rilevante per: solo client di etichettatura unificata AIP

Nodo del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nome CloudEnvType
valore 0 = Commerciale (impostazione predefinita)
1 = GCC
2 = GCC High
3 = DoD
Type REG_DWORD

Nota

  • Se questa chiave del Registro di sistema è vuota, non corretta o mancante, il comportamento torna all'impostazione predefinita (0 = Commerciale).
  • Se la chiave è vuota o non corretta, viene aggiunto anche un errore di stampa al log.
  • Assicurarsi di non eliminare la chiave del Registro di sistema dopo la disinstallazione.

Configurazione delle app AIP per il client classico

Rilevante per: solo client classico AIP

Nodo del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nome WebServiceUrl
valore https://api.informationprotection.azure.us
Type REG_SZ (String)

Firewall e infrastruttura di rete

Se si dispone di un firewall o di dispositivi di rete simili configurati per consentire connessioni specifiche, usare le impostazioni seguenti per garantire una comunicazione senza problemi per Azure Information Protection.

  • Connessione da client a servizio TLS: non terminare la connessione da client a servizio TLS all'URL rms.aadrm.us , ad esempio per eseguire l'ispezione a livello di pacchetto.

    È possibile usare i comandi di PowerShell seguenti per determinare se la connessione client viene terminata prima di raggiungere il servizio Azure Rights Management:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    Il risultato dovrebbe indicare che la CA emittente proviene da una CA Microsoft, ad esempio: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Se viene visualizzato un nome CA emittente che non proviene da Microsoft, è probabile che la connessione sicura da client a servizio venga terminata e che sia necessario riconfigurare nel firewall.

  • Download di etichette e criteri di etichetta (solo client classico AIP): per abilitare il client classico di Azure Information Protection per scaricare etichette e criteri di etichetta, consentire l'URL api.informationprotection.azure.us tramite HTTPS.

Per altre informazioni, vedi:

Tag di servizio

Assicurarsi di consentire l'accesso a tutte le porte per i tag di servizio seguenti:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend