Opis usługi Azure Information Protection Premium Dla instytucji rządowych
Uwaga
Aby zapewnić ujednolicone i usprawnione środowisko klienta, klasyczny klient usługi Azure Information Protection i zarządzanie etykietami w witrynie Azure Portal są przestarzałe dla klientów GCC, GCC-H i DoD od 31 września 2021 r.
Klient klasyczny zostanie oficjalnie wycofany i przestanie działać 31 marca 2022 r.
Wszyscy obecni klienci klasyczni usługi Azure Information Protection muszą przeprowadzić migrację do ujednoliconej platformy etykietowania usługi Microsoft Purview Information Protection i uaktualnić go do klienta ujednoliconego etykietowania. Dowiedz się więcej na naszym blogu dotyczącym migracji.
Jak używać tego opisu usługi
Ujednolicone etykietowanie usługi Azure Information Protection jest dostępne dla klientów GCC, GCC High i DoD.
Opis usługi Azure Information Protection Premium Dla instytucji rządowych został zaprojektowany tak, aby służył jako omówienie naszej oferty w środowiskach GCC High i DoD i będzie obejmować odmiany funkcji w porównaniu z ofertami komercyjnymi usługi Azure Information Protection Premium.
Azure Information Protection Premium Government i usługi innych firm
Niektóre usługi Azure Information Protection Premium umożliwiają bezproblemową pracę z aplikacjami i usługami innych firm.
Te aplikacje i usługi innych firm mogą obejmować przechowywanie, przesyłanie i przetwarzanie zawartości klienta organizacji w systemach innych firm, które znajdują się poza infrastrukturą usługi Azure Information Protection Premium, a zatem nie są objęte naszymi zobowiązaniami dotyczącymi zgodności i ochrony danych.
Podczas oceny odpowiedniego korzystania z tych usług w organizacji należy zapoznać się z oświadczeniami dotyczącymi prywatności i zgodności dostarczonymi przez osoby trzecie.
Równoważność z ofertami komercyjnymi usługi Azure Information Protection w warstwie Premium
Aby uzyskać informacje o znanych istniejących lukach między usługą Azure Information Protection Premium GCC High/DoD i ofertą komercyjną, zobacz dostępność funkcji w chmurze dla klientów rządowych USA dla usługi Azure Information Protection.
Konfigurowanie usługi Azure Information Protection dla klientów GCC High i DoD
Poniższe szczegóły konfiguracji są istotne dla wszystkich rozwiązań usługi Azure Information Protection dla klientów GCC High i DoD, w tym rozwiązań ujednoliconych etykietowania.
- Włączanie usługi Rights Management dla dzierżawy
- Konfiguracja DNS na potrzeby szyfrowania (Windows)
- Konfiguracja DNS na potrzeby szyfrowania (Mac, iOS, Android)
- Migracja etykiet
- Konfiguracja aplikacji usługi AIP
Ważne
Od lipca 2020 r. wszyscy nowi klienci GCC High rozwiązania ujednoliconego etykietowania usługi Azure Information Protection mogą korzystać tylko z funkcji menu Ogólne i menu Skaner.
Włączanie usługi Rights Management dla dzierżawy
Aby szyfrowanie działało poprawnie, usługa Rights Management musi być włączona dla dzierżawy.
- Sprawdź, czy usługa Rights Management jest włączona
- Uruchamianie programu PowerShell jako administrator
- Uruchom polecenie
Install-Module aadrm, jeśli moduł AADRM nie jest zainstalowany - Nawiązywanie połączenia z usługą przy użyciu
Connect-aadrmservice -environmentname azureusgovernment - Uruchom
(Get-AadrmConfiguration).FunctionalStatepolecenie i sprawdź, czy stan toEnabled
- Jeśli stan funkcjonalny to
Disabled, uruchom polecenieEnable-Aadrm
Konfiguracja DNS na potrzeby szyfrowania (Windows)
Aby szyfrowanie działało poprawnie, aplikacje klienckie pakietu Office muszą łączyć się z wystąpieniem GCC, GCC High/DoD usługi i uruchamiać z tego miejsca. Aby przekierować aplikacje klienckie do odpowiedniego wystąpienia usługi, administrator dzierżawy musi skonfigurować rekord SRV DNS z informacjami o adresie URL usługi Azure RMS. Bez rekordu SRV DNS aplikacja kliencka podejmie próbę nawiązania połączenia z wystąpieniem chmury publicznej domyślnie i zakończy się niepowodzeniem.
Ponadto założeniem jest to, że użytkownicy będą logować się przy użyciu nazwy użytkownika na podstawie domeny należącej do dzierżawy (na przykład: joe@contoso.us), a nie nazwy użytkownika onmicrosoft (na przykład: joe@contoso.onmicrosoft.us). Nazwa domeny z nazwy użytkownika jest używana do przekierowywania DNS do odpowiedniego wystąpienia usługi.
- Pobieranie identyfikatora usługi Rights Management
- Uruchamianie programu PowerShell jako administrator
- Jeśli moduł AADRM nie jest zainstalowany, uruchom polecenie
Install-Module aadrm - Nawiązywanie połączenia z usługą przy użyciu
Connect-aadrmservice -environmentname azureusgovernment - Uruchom polecenie
(Get-aadrmconfiguration).RightsManagementServiceId, aby uzyskać identyfikator usługi Rights Management
- Zaloguj się do dostawcy DNS i przejdź do ustawień DNS dla domeny, aby dodać nowy rekord SRV
- Usługa =
_rmsredir - Protokół =
_http - Nazwa =
_tcp - Target =
[GUID].rms.aadrm.us(gdzie identyfikator GUID jest identyfikatorem usługi Rights Management) - Port =
80 - Priorytet, waga, sekundy, czas wygaśnięcia = wartości domyślne
- Usługa =
- Skojarz domenę niestandardową z dzierżawą w witrynie Azure Portal. Skojarzenie domeny niestandardowej spowoduje dodanie wpisu w systemie DNS, co może potrwać kilka minut po dodaniu wartości.
- Zaloguj się do Centrum administracyjnego pakietu Office i dodaj domenę (na przykład: contoso.us) w celu utworzenia użytkownika. W procesie weryfikacji może być wymagana pewna część zmian DNS. Po zakończeniu weryfikacji można utworzyć użytkowników.
Konfiguracja DNS na potrzeby szyfrowania (Mac, iOS, Android)
- Zaloguj się do dostawcy DNS i przejdź do ustawień DNS dla domeny, aby dodać nowy rekord SRV
- Usługa =
_rmsdisco - Protokół =
_http - Nazwa =
_tcp - Target =
api.aadrm.us - Port =
80 - Priorytet, waga, sekundy, czas wygaśnięcia = wartości domyślne
- Usługa =
Migracja etykiet
Klienci GCC High i DoD muszą migrować wszystkie istniejące etykiety przy użyciu programu PowerShell. Tradycyjne metody migracji usługi AIP nie mają zastosowania dla klientów GCC High i DoD.
Użyj polecenia cmdlet New-Label, aby przeprowadzić migrację istniejących etykiet poufności. Przed rozpoczęciem migracji postępuj zgodnie z instrukcjami dotyczącymi nawiązywania połączenia i uruchamiania polecenia cmdlet przy użyciu centrum zabezpieczeń i zgodności.
Przykład migracji, gdy istniejąca etykieta poufności ma szyfrowanie:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
Konfiguracja aplikacji usługi AIP
Podczas pracy z klientem usługi Azure Information Protection należy skonfigurować jeden z następujących kluczy rejestru, aby wskazywały aplikacje usługi AIP w systemie Windows na poprawną suwerenną chmurę. Upewnij się, że używasz poprawnych wartości dla konfiguracji.
- Konfiguracja aplikacji usługi AIP dla klienta ujednoliconego etykietowania
- Konfiguracja aplikacji usługi AIP dla klasycznego klienta
Konfiguracja aplikacji usługi AIP dla klienta ujednoliconego etykietowania
Istotne dla: tylko klient ujednoliconego etykietowania usługi AIP
| Węzeł rejestru | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Nazwa/nazwisko | CloudEnvType |
| Wartość | 0 = komercyjna (wartość domyślna) 1 = GCC 2 = GCC High 3 = DoD |
| Type | REG_DWORD |
Uwaga
- Jeśli ten klucz rejestru jest pusty, niepoprawny lub brakuje, zachowanie zostanie przywrócone do wartości domyślnej (0 = komercyjna).
- Jeśli klucz jest pusty lub niepoprawny, do dziennika jest również dodawany błąd drukowania.
- Pamiętaj, aby nie usuwać klucza rejestru po odinstalowaniu.
Konfiguracja aplikacji usługi AIP dla klasycznego klienta
Istotne dla: tylko klient klasyczny usługi AIP
| Węzeł rejestru | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Nazwa/nazwisko | WebServiceUrl |
| Wartość | https://api.informationprotection.azure.us |
| Type | REG_SZ (ciąg) |
Zapory i infrastruktura sieci
Jeśli masz zaporę lub podobne interweniujące urządzenia sieciowe skonfigurowane do zezwalania na określone połączenia, użyj następujących ustawień, aby zapewnić bezproblemową komunikację dla usługi Azure Information Protection.
Połączenie klienta z usługą TLS: nie przerywaj połączenia klienta-usługi TLS z adresem URL rms.aadrm.us (na przykład w celu przeprowadzenia inspekcji na poziomie pakietów).
Możesz użyć następujących poleceń programu PowerShell, aby określić, czy połączenie klienta zostało przerwane przed nawiązaniem połączenia z usługą Azure Rights Management:
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerWynik powinien wskazywać, że urząd wystawiający certyfikaty pochodzi z urzędu certyfikacji firmy Microsoft, na przykład:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Jeśli widzisz nazwę urzędu wystawiającego certyfikaty, która nie pochodzi od firmy Microsoft, prawdopodobnie połączenie bezpiecznego klienta z usługą zostanie przerwane i musi zostać ponownie skonfigurowane w zaporze.Pobieranie etykiet i zasad etykiet (tylko klient klasyczny usługi AIP): aby umożliwić klasycznemu klientowi usługi Azure Information Protection pobieranie etykiet i zasad etykiet, zezwól na api.informationprotection.azure.us adresu URL za pośrednictwem protokołu HTTPS.
Aby uzyskać więcej informacji, zobacz:
- Punkty końcowe DoD usługi Office 365 dla instytucji rządowych USA
- Punkty końcowe usługi Office 365 U.S. Government GCC High
Tagi usługi
Upewnij się, że zezwalasz na dostęp do wszystkich portów dla następujących tagów usługi:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend