Microsoft Purview Information Protection para Office 365 operado pela 21Vianet
Este artigo aborda as diferenças entre o suporte da Proteção de Informações do Microsoft Purview para o Office 365 operado pela 21Vianet e as ofertas comerciais que se limitam à oferta anteriormente conhecida como Azure Information Protection (AIP), bem como instruções de configuração específicas para clientes na China, incluindo como instalar o scanner de proteção de informações e gerenciar trabalhos de verificação de conteúdo.
Diferenças entre a 21Vianet e as ofertas comerciais
Embora nosso objetivo seja fornecer todos os recursos e funcionalidades comerciais aos clientes na China com nosso suporte à Proteção de Informações Microsoft Purview para o Office 365 operado pela oferta 21Vianet, há algumas funcionalidades ausentes:
A encriptação do Ative Directory Rights Management Services (AD RMS) é suportada apenas nas Aplicações Microsoft 365 para empresas (compilação 11731.10000 ou posterior). O Office Professional Plus não suporta AD RMS.
A migração do AD RMS para o AIP não está disponível no momento.
O compartilhamento de e-mails protegidos com usuários na nuvem comercial é suportado.
O compartilhamento de documentos e anexos de e-mail com usuários na nuvem comercial não está disponível no momento. Isso inclui o Office 365 operado por usuários 21Vianet na nuvem comercial, não Office 365 operado por usuários 21Vianet na nuvem comercial e usuários com uma licença RMS for Individuals.
O IRM com SharePoint (sites e bibliotecas protegidos por IRM) não está disponível no momento.
A Extensão de Dispositivo Móvel para AD RMS não está disponível no momento.
O Visualizador Móvel não é suportado pelo Azure China 21Vianet.
A área de scanner do portal de conformidade não está disponível para clientes na China. Use comandos do PowerShell em vez de executar ações no portal, como gerenciar e executar seus trabalhos de verificação de conteúdo.
Os pontos de extremidade de rede para o cliente Microsoft Purview Information Protection no ambiente 21Vianet são diferentes dos pontos de extremidade necessários para outros serviços de nuvem. É necessária conectividade de rede de clientes para os seguintes pontos de extremidade:
- Políticas de download de rótulos e etiquetas:
*.protection.partner.outlook.cn
- Serviço Azure Rights Management:
*.aadrm.cn
- Políticas de download de rótulos e etiquetas:
O Acompanhamento e Revogação de Documentos pelos utilizadores não está disponível no momento.
Configuração para clientes na 21Vianet
Para configurar o suporte do Microsoft Purview Information Protection para o Office 365 operado pela 21Vianet:
Adicione a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft.
Instale e configure o cliente Microsoft Purview Information Protection.
Defina as configurações do Windows.
Instale o verificador de proteção de informações e gerencie trabalhos de verificação de conteúdo.
Etapa 1: Habilitar o Rights Management para o locatário
Para que a criptografia funcione corretamente, o serviço de gerenciamento de direitos (RMS) deve ser habilitado para o locatário.
Verifique se o RMS está ativado:
- Inicie o PowerShell como administrador.
- Se o módulo AIPService não estiver instalado, execute
Install-Module AipService
. - Importe o módulo usando
Import-Module AipService
o . - Conecte-se ao serviço usando
Connect-AipService -environmentname azurechinacloud
o . - Execute
(Get-AipServiceConfiguration).FunctionalState
e verifique se o estado éEnabled
.
Se o estado funcional for
Disabled
, executeEnable-AipService
.
Etapa 2: Adicionar a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft
A entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft não está disponível nos locatários do Azure China por padrão e é necessária para a Proteção de Informações do Azure. Crie esta entidade de serviço manualmente por meio do módulo Azure Az PowerShell.
Se você não tiver o módulo Azure Az instalado, instale-o ou use um recurso em que o módulo Azure Az vem pré-instalado, como o Azure Cloud Shell. Para obter mais informações, veja Instalar o módulo Azure Az do PowerShell.
Conecte-se ao serviço usando o cmdlet Connect-AzAccount e o nome do
azurechinacloud
ambiente:Connect-azaccount -environmentname azurechinacloud
Crie a entidade de serviço do Serviço de Sincronização do Microsoft Information Protection manualmente usando o cmdlet New-AzADServicePrincipal e a ID do
870c4f2e-85b6-4d43-bdda-6ed9a579b725
aplicativo para o Serviço de Sincronização de Proteção de Informações do Microsoft Purview:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
Depois de adicionar a entidade de serviço, adicione as permissões relevantes necessárias ao serviço.
Etapa 3: Configurar a criptografia DNS
Para que a criptografia funcione corretamente, os aplicativos cliente do Office devem se conectar à instância China do serviço e inicializar a partir daí. Para redirecionar aplicativos cliente para a instância de serviço correta, o administrador do locatário deve configurar um registro SRV DNS com informações sobre a URL do Azure RMS. Sem o registro SRV DNS, o aplicativo cliente tentará se conectar à instância de nuvem pública por padrão e falhará.
Além disso, a suposição é que os usuários farão logon com um nome de usuário baseado no domínio de propriedade do locatário (por exemplo, joe@contoso.cn
), e não no nome de onmschina
usuário (por exemplo, joe@contoso.onmschina.cn
). O nome de domínio do nome de usuário é usado para redirecionamento de DNS para a instância de serviço correta.
Configurar criptografia de DNS - Windows
Obtenha o ID do RMS:
- Inicie o PowerShell como administrador.
- Se o módulo AIPService não estiver instalado, execute
Install-Module AipService
. - Conecte-se ao serviço usando
Connect-AipService -environmentname azurechinacloud
o . - Execute
(Get-AipServiceConfiguration).RightsManagementServiceId
para obter a ID do RMS.
Inicie sessão no seu fornecedor de DNS, navegue até às definições de DNS do domínio e, em seguida, adicione um novo registo SRV.
- Serviço =
_rmsredir
- Protocolo =
_http
- Nome =
_tcp
- Target =
[GUID].rms.aadrm.cn
(onde GUID é o ID do RMS) - Prioridade, Peso, Segundos, TTL = valores padrão
- Serviço =
Associe o domínio personalizado ao locatário no portal do Azure. Isso adicionará uma entrada no DNS, que pode levar vários minutos para ser verificada depois que você adicionar o valor às configurações de DNS.
Inicie sessão no centro de administração do Microsoft 365 com as credenciais de administrador global correspondentes e adicione o domínio (por exemplo,
contoso.cn
) para a criação do utilizador. No processo de verificação, alterações adicionais de DNS podem ser necessárias. Uma vez feita a verificação, os usuários podem ser criados.
Configurar criptografia de DNS - Mac, iOS, Android
Inicie sessão no seu fornecedor de DNS, navegue até às definições de DNS do domínio e, em seguida, adicione um novo registo SRV.
- Serviço =
_rmsdisco
- Protocolo =
_http
- Nome =
_tcp
- Público-alvo =
api.aadrm.cn
- Porta =
80
- Prioridade, Peso, Segundos, TTL = valores padrão
Etapa 4: Instalar e configurar o cliente de etiquetagem
Transfira e instale o cliente Microsoft Purview Information Protection a partir do Centro de Transferências da Microsoft.
Para obter mais informações, consulte:
- Estenda a rotulagem de sensibilidade no Windows
- Cliente Microsoft Purview Information Protection - Gerenciamento de versão e suporte
Etapa 5: Definir as configurações do Windows
O Windows precisa da seguinte chave do Registro para autenticação para apontar para a nuvem soberana correta para o Azure China:
- Nó do Registro =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Nome =
CloudEnvType
- Valor =
6
(padrão = 0) - Tipo =
REG_DWORD
Importante
Certifique-se de que não elimina a chave de registo após uma desinstalação. Se a chave estiver vazia, incorreta ou inexistente, a funcionalidade se comportará como o valor padrão (valor padrão = 0 para a nuvem comercial). Se a chave estiver vazia ou incorreta, um erro de impressão também será adicionado ao log.
Etapa 6: Instalar o verificador de proteção de informações e gerenciar trabalhos de verificação de conteúdo
Instale o mecanismo de varredura do Microsoft Purview Information Protection para verificar seus compartilhamentos de rede e conteúdo em busca de dados confidenciais e aplique rótulos de classificação e proteção conforme configurado na política da sua organização.
Ao configurar e gerenciar seus trabalhos de verificação de conteúdo, use o procedimento a seguir em vez do portal de conformidade do Microsoft Purview usado pelas ofertas comerciais.
Para obter mais informações, consulte Saiba mais sobre o verificador de proteção de informações e Gerenciar seus trabalhos de verificação de conteúdo usando apenas o PowerShell.
Para instalar e configurar o scanner:
Entre no computador Windows Server que executará o scanner. Use uma conta que tenha direitos de administrador local e que tenha permissões para gravar no banco de dados mestre do SQL Server.
Comece com o PowerShell fechado. Se você já instalou o mecanismo de varredura de proteção de informações, verifique se o serviço Microsoft Purview Information Protection Scanner está parado.
Abra uma sessão do Windows PowerShell com a opção Executar como administrador .
Execute o cmdlet Install-Scanner , especificando sua instância do SQL Server na qual criar um banco de dados para o mecanismo de varredura do Microsoft Purview Information Protection e um nome significativo para o cluster de scanner.
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
Gorjeta
Você pode usar o mesmo nome de cluster no comando Install-Scanner para associar vários nós do scanner ao mesmo cluster. O uso do mesmo cluster para vários nós de scanner permite que vários scanners trabalhem juntos para executar suas varreduras.
Verifique se o serviço agora está instalado usando os Serviços de Ferramentas>Administrativas.
O serviço instalado é chamado Microsoft Purview Information Protection Scanner e está configurado para ser executado usando a conta de serviço do scanner que você criou.
Obtenha um token do Azure para usar com seu scanner. Um token do Microsoft Entra permite que o mecanismo de varredura se autentique no serviço Proteção de Informações do Azure, permitindo que o mecanismo de varredura seja executado de forma não interativa.
Abra o portal do Azure e crie um aplicativo Microsoft Entra para especificar um token de acesso para autenticação. Para obter mais informações, consulte Como rotular arquivos não interativamente para a Proteção de Informações do Azure.
Gorjeta
Ao criar e configurar aplicativos do Microsoft Entra para o comando Set-Authentication, o painel Request API permissions mostra a guia APIs que minha organização usa em vez da guia APIs da Microsoft. Selecione as APIs que minha organização usa para selecionar Azure Rights Management Services.
No computador Windows Server, se a sua conta de serviço do scanner tiver recebido o direito Fazer logon localmente para a instalação, entre com essa conta e inicie uma sessão do PowerShell.
Se a sua conta de serviço do scanner não puder receber o direito de Logon local para a instalação, use o parâmetro OnBehalfOf com Set-Authentication, conforme descrito em Como rotular arquivos não interativamente para a Proteção de Informações do Azure.
Execute Set-Authentication, especificando valores copiados do seu aplicativo Microsoft Entra:
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Por exemplo:
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
O scanner agora tem um token para autenticar no Microsoft Entra ID. Esse token é válido por um ano, dois anos ou nunca, de acordo com sua configuração do segredo do cliente do aplicativo Web/API no Microsoft Entra ID. Quando o token expirar, você deve repetir este procedimento.
Execute o cmdlet Set-ScannerConfiguration para definir o mecanismo de varredura para funcionar no modo offline. Executar:
Set-ScannerConfiguration -OnlineConfiguration Off
Execute o cmdlet Set-ScannerContentScanJob para criar um trabalho de verificação de conteúdo padrão.
O único parâmetro necessário no cmdlet Set-ScannerContentScanJob é Enforce. No entanto, convém definir outras configurações para seu trabalho de verificação de conteúdo neste momento. Por exemplo:
Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
A sintaxe acima define as seguintes configurações enquanto você continua a configuração:
- Mantém o agendamento de execução do scanner para manual
- Define os tipos de informações a serem descobertos com base na política de rotulagem de sensibilidade
- Não impõe uma política de rotulagem de sensibilidade
- Rotula automaticamente os arquivos com base no conteúdo, usando o rótulo padrão definido para a política de rotulagem de sensibilidade
- Não permite rerotular arquivos
- Preserva os detalhes do arquivo durante a verificação e a rotulagem automática, incluindo a data de modificação, a última modificação e a modificação por valores
- Define o mecanismo de varredura para excluir arquivos .msg e .tmp durante a execução
- Define o proprietário padrão para a conta que você deseja usar ao executar o scanner
Use o cmdlet Add-ScannerRepository para definir os repositórios que você deseja verificar em seu trabalho de verificação de conteúdo. Por exemplo, execute:
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Use uma das seguintes sintaxes, dependendo do tipo de repositório que você está adicionando:
- Para um compartilhamento de rede, use
\\Server\Folder
. - Para uma biblioteca do SharePoint, use
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Para um caminho local:
C:\Folder
- Para um caminho UNC:
\\Server\Folder
Nota
Não há suporte para curingas e locais WebDav não são suportados.
Para modificar o repositório posteriormente, use o cmdlet Set-ScannerRepository .
- Para um compartilhamento de rede, use
Continue com as seguintes etapas, conforme necessário:
- Run a discovery cycle and view reports for the scanner (Executar um ciclo de deteção e ver os relatórios do analisador)
- Usar o PowerShell para configurar o mecanismo de varredura para aplicar classificação e proteção
- Usar o PowerShell para configurar uma política de DLP com o mecanismo de varredura
A tabela a seguir lista os cmdlets do PowerShell que são relevantes para instalar o mecanismo de varredura e gerenciar seus trabalhos de verificação de conteúdo:
Cmdlet | Description |
---|---|
Add-ScannerRepository | Adiciona um novo repositório ao seu trabalho de verificação de conteúdo. |
Get-ScannerConfiguration | Retorna detalhes sobre o cluster. |
Get-ScannerContentScan | Obtém detalhes sobre seu trabalho de verificação de conteúdo. |
Get-ScannerRepository | Obtém detalhes sobre repositórios definidos para seu trabalho de verificação de conteúdo. |
Remove-ScannerContentScan | Exclui seu trabalho de verificação de conteúdo. |
Remove-ScannerRepository | Remove um repositório do seu trabalho de verificação de conteúdo. |
Set-ScannerContentScan | Define as configurações para seu trabalho de verificação de conteúdo. |
Set-ScannerRepository | Define configurações para um repositório existente em seu trabalho de verificação de conteúdo. |
Para obter mais informações, consulte: