Microsoft Purview Information Protection för Office 365 som drivs av 21Vianet

Den här artikeln beskriver skillnaderna mellan Microsoft Purview Information Protection-stöd för Office 365 som drivs av 21Vianet och kommersiella erbjudanden som är begränsat till erbjudanden som tidigare kallades Azure Information Protection (AIP), samt specifika konfigurationsinstruktioner för kunder i Kina, inklusive hur du installerar informationsskyddsskannern och hanterar innehållssökningsjobb.

Skillnader mellan 21Vianet och kommersiella erbjudanden

Vårt mål är att leverera alla kommersiella funktioner till kunder i Kina med vårt Microsoft Purview Information Protection-stöd för Office 365 som drivs av 21Vianet-erbjudandet, men det finns några funktioner som saknas:

• Active Directory Rights Management Services-kryptering (AD RMS) stöds endast i Microsoft 365-appar för företag (version 11731.10000 eller senare). Office Professional Plus stöder inte AD RMS.

• Migrering från AD RMS till AIP är för närvarande inte tillgänglig.

• Delning av skyddade e-postmeddelanden med användare i det kommersiella molnet stöds.

• Delning av dokument och e-postbilagor med användare i det kommersiella molnet är för närvarande inte tillgängligt. Detta inkluderar Office 365 som drivs av 21Vianet-användare i det kommersiella molnet, icke-Office 365 som drivs av 21Vianet-användare i det kommersiella molnet och användare med en RMS for Individuals-licens.

• IRM med SharePoint (IRM-skyddade webbplatser och bibliotek) är för närvarande inte tillgängligt.

• Tillägget för mobila enheter för AD RMS är för närvarande inte tillgängligt.

• Mobile Viewer stöds inte av Azure China 21Vianet.

• Skannerområdet i efterlevnadsportalen är inte tillgängligt för kunder i Kina. Använd PowerShell-kommandon i stället för att utföra åtgärder i portalen, till exempel att hantera och köra innehållssökningsjobb.

• Nätverksslutpunkter för Microsoft Purview Information Protection-klienten i 21Vianet-miljön skiljer sig från de slutpunkter som krävs för andra molntjänster. Nätverksanslutning från klienter till följande slutpunkter krävs:

  • Ladda ned etikett- och etikettprinciper: *.protection.partner.outlook.cn
  • Azure Rights Management-tjänsten: *.aadrm.cn

• dokumentspårning och återkallande av användare är för närvarande inte tillgängligt.

Konfiguration för kunder i 21Vianet

Så här konfigurerar du Microsoft Purview Information Protection-stöd för Office 365 som drivs av 21Vianet:

1. Aktivera Rights Management för klientorganisationen.

2. Lägg till tjänstens huvudnamn för Tjänsten Microsoft Information Protection Sync.

3. Konfigurera DNS-kryptering.

4. Installera och konfigurera Microsoft Purview Information Protection-klienten.

5. Konfigurera Windows-inställningar.

6. Installera informationsskyddsskannern och hantera innehållssökningsjobb.

Steg 1: Aktivera Rights Management för klientorganisationen

För att krypteringen ska fungera korrekt måste rights management-tjänsten (RMS) vara aktiverad för klientorganisationen.

1. Kontrollera om RMS är aktiverat:

   1. Starta PowerShell som administratör.
   2. Om AIPService-modulen inte är installerad kör du Install-Module AipService.
   3. Importera modulen med .Import-Module AipService
   4. Anslut till tjänsten med hjälp av Connect-AipService -environmentname azurechinacloud.
   5. Kör (Get-AipServiceConfiguration).FunctionalState och kontrollera om tillståndet är Enabled.

2. Om funktionstillståndet är Disabledkör du Enable-AipService.

Steg 2: Lägg till tjänstens huvudnamn för Tjänsten Microsoft Information Protection Sync

Tjänstens huvudnamn för Microsoft Information Protection Sync-tjänsten är inte tillgängligt i Azure China-klientorganisationer som standard och krävs för Azure Information Protection. Skapa tjänstens huvudnamn manuellt via Azure Az PowerShell-modulen.

1. Om du inte har installerat Azure Az-modulen installerar du den eller använder en resurs där Azure Az-modulen är förinstallerad, till exempel Azure Cloud Shell. Mer information finns i Installera Azure Az PowerShell-modulen.

2. Anslut till tjänsten med cmdleten Anslut-AzAccount och azurechinacloud miljönamnet:

   Connect-azaccount -environmentname azurechinacloud
   

3. Skapa tjänstens huvudnamn för Microsoft Information Protection Sync Service manuellt med cmdleten New-AzADServicePrincipal och 870c4f2e-85b6-4d43-bdda-6ed9a579b725 program-ID:t för Microsoft Purview Information Protection Sync Service:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. När du har lagt till tjänstens huvudnamn lägger du till de relevanta behörigheter som krävs för tjänsten.

Steg 3: Konfigurera DNS-kryptering

För att krypteringen ska fungera korrekt måste Office-klientprogram ansluta till Kina-instansen av tjänsten och bootstrap därifrån. Om du vill omdirigera klientprogram till rätt tjänstinstans måste klientadministratören konfigurera en DNS SRV-post med information om Azure RMS-URL:en. Utan DNS SRV-posten försöker klientprogrammet ansluta till den offentliga molninstansen som standard och misslyckas.

Antagandet är också att användarna loggar in med ett användarnamn baserat på den klientägda domänen (till exempel joe@contoso.cn), och inte användarnamnet onmschina (till exempel joe@contoso.onmschina.cn). Domännamnet från användarnamnet används för DNS-omdirigering till rätt tjänstinstans.

Konfigurera DNS-kryptering – Windows

1. Hämta RMS-ID:t:

   1. Starta PowerShell som administratör.
   2. Om AIPService-modulen inte är installerad kör du Install-Module AipService.
   3. Anslut till tjänsten med hjälp av Connect-AipService -environmentname azurechinacloud.
   4. Kör (Get-AipServiceConfiguration).RightsManagementServiceId för att hämta RMS-ID:t.

2. Logga in på DNS-providern, navigera till DNS-inställningarna för domänen och lägg sedan till en ny SRV-post.

   • Tjänst = _rmsredir
   • Protokoll = _http
   • Namn = _tcp
   • Target = [GUID].rms.aadrm.cn (där GUID är RMS-ID:t)
   • Prioritet, Vikt, Sekunder, TTL = standardvärden

3. Associera den anpassade domänen med klientorganisationen i Azure-portalen. Detta lägger till en post i DNS, vilket kan ta flera minuter att verifiera när du har lagt till värdet i DNS-inställningarna.

4. Logga in på Administrationscenter för Microsoft 365 med motsvarande autentiseringsuppgifter för global administratör och lägg till domänen (till exempel contoso.cn) för att skapa användare. I verifieringsprocessen kan ytterligare DNS-ändringar krävas. När verifieringen är klar kan användare skapas.

Konfigurera DNS-kryptering – Mac, iOS, Android

Logga in på DNS-providern, navigera till DNS-inställningarna för domänen och lägg sedan till en ny SRV-post.

• Tjänst = _rmsdisco
• Protokoll = _http
• Namn = _tcp
• Mål = api.aadrm.cn
• Port = 80
• Prioritet, Vikt, Sekunder, TTL = standardvärden

Steg 4: Installera och konfigurera etiketteringsklienten

Ladda ned och installera Microsoft Purview Information Protection-klienten från Microsoft Download Center.

Mer information finns i:

• Utöka känslighetsetiketter i Windows
• Microsoft Purview Information Protection-klienten – Versionshantering och support

Steg 5: Konfigurera Windows-inställningar

Windows behöver följande registernyckel för autentisering för att peka på rätt nationellt moln för Azure Kina:

• Registernod = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Namn = CloudEnvType
• Värde = 6 (standard = 0)
• Typ = REG_DWORD

Viktigt!

Se till att du inte tar bort registernyckeln efter en avinstallation. Om nyckeln är tom, felaktig eller obefintlig fungerar funktionen som standardvärde (standardvärdet = 0 för det kommersiella molnet). Om nyckeln är tom eller felaktig läggs även ett utskriftsfel till i loggen.

Steg 6: Installera informationsskyddsskannern och hantera innehållssökningsjobb

Installera Microsoft Purview Information Protection-skannern för att söka igenom dina nätverks- och innehållsresurser efter känsliga data och tillämpa klassificerings- och skyddsetiketter som konfigurerats i organisationens princip.

När du konfigurerar och hanterar dina innehållssökningsjobb använder du följande procedur i stället för efterlevnadsportal i Microsoft Purview som används av de kommersiella erbjudandena.

Mer information finns i Läs mer om informationsskyddsskannern och Hantera dina innehållssökningsjobb med endast PowerShell.

Så här installerar och konfigurerar du skannern:

1. Logga in på Den Windows Server-dator som ska köra skannern. Använd ett konto som har lokal administratörsbehörighet och som har behörighet att skriva till SQL Server-huvuddatabasen.

2. Börja med PowerShell stängt. Om du tidigare har installerat informationsskyddsskannern kontrollerar du att Tjänsten Microsoft Purview Information Protection Scanner har stoppats.

3. Öppna en Windows PowerShell-session med alternativet Kör som administratör .

4. Kör cmdleten Install-Scanner och ange din SQL Server-instans där du vill skapa en databas för Microsoft Purview Information Protection-skannern och ett beskrivande namn för skannerklustret.

   Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Dricks

   Du kan använda samma klusternamn i kommandot Install-Scanner för att associera flera skannernoder till samma kluster. Genom att använda samma kluster för flera skannernoder kan flera skannrar arbeta tillsammans för att utföra dina genomsökningar.

5. Kontrollera att tjänsten nu har installerats med hjälp av Administrationsverktygstjänster>.

   Den installerade tjänsten heter Microsoft Purview Information Protection Scanner och är konfigurerad att köras med hjälp av det skannertjänstkonto som du skapade.

6. Hämta en Azure-token som ska användas med skannern. Med en Microsoft Entra-token kan skannern autentisera till Azure Information Protection-tjänsten, vilket gör att skannern kan köras icke-interaktivt.

   1. Öppna Azure-portalen och skapa ett Microsoft Entra-program för att ange en åtkomsttoken för autentisering. Mer information finns i Så här etiketterar du filer som inte är interaktiva för Azure Information Protection.

      Dricks

      När du skapar och konfigurerar Microsoft Entra-program för kommandot Set-Authentication visas fliken API-behörigheter för begärande-API:er som min organisation använder i stället för fliken Microsoft API:er. Välj de API:er som min organisation använder för att sedan välja Azure Rights Management Services.

   2. Logga in med det här kontot och starta en PowerShell-session om ditt skannertjänstkonto har beviljats lokal inloggning för installationen.

      Om ditt skannertjänstkonto inte kan beviljas lokal inloggningsbehörighet för installationen använder du parametern OnBehalfOf med Set-Authentication enligt beskrivningen i Så här etiketterar du filer som inte är interaktiva för Azure Information Protection.

   3. Kör Set-Authentication och ange värden som kopierats från ditt Microsoft Entra-program:

   Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Till exempel:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Skannern har nu en token för att autentisera till Microsoft Entra-ID. Denna token är giltig i ett år, två år eller aldrig, enligt din konfiguration av webbappen /API-klienthemligheten i Microsoft Entra-ID. När token upphör att gälla måste du upprepa den här proceduren.

7. Kör cmdleten Set-ScannerConfiguration för att ställa in skannern så att den fungerar i offlineläge. Kör:

   Set-ScannerConfiguration -OnlineConfiguration Off
   

8. Kör cmdleten Set-ScannerContentScanJob för att skapa ett standardjobb för innehållssökning.

   Den enda obligatoriska parametern i cmdleten Set-ScannerContentScanJob är Enforce. Men du kanske vill definiera andra inställningar för innehållssökningsjobbet just nu. Till exempel:

   Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   Syntaxen ovan konfigurerar följande inställningar medan du fortsätter konfigurationen:

   • Håller skannerkörningens schemaläggning manuellt
   • Anger vilka informationstyper som ska identifieras baserat på principen för känslighetsetiketter
   • Tillämpar inte en princip för känslighetsetiketter
   • Etiketterar filer automatiskt baserat på innehåll med hjälp av standardetiketten som definierats för principen för känslighetsetiketter
   • Tillåter inte ommärkning av filer
   • Bevarar filinformation vid genomsökning och automatisk etikettering, inklusive datum som ändrats, senast ändrats och ändrats av värden
   • Anger att skannern ska undanta .msg och .tmp filer när den körs
   • Anger standardägaren till det konto som du vill använda när du kör skannern

9. Använd cmdleten Add-ScannerRepository för att definiera de lagringsplatser som du vill genomsöka i innehållssökningsjobbet. Kör till exempel:

   Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Använd någon av följande syntaxer, beroende på vilken typ av lagringsplats du lägger till:

   • För en nätverksresurs använder du \\Server\Folder.
   • För ett SharePoint-bibliotek använder du http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • För en lokal sökväg: C:\Folder
   • För en UNC-sökväg: \\Server\Folder

   Kommentar

   Jokertecken stöds inte och WebDav-platser stöds inte.

   Om du vill ändra lagringsplatsen senare använder du cmdleten Set-ScannerRepository i stället.

Fortsätt med följande steg efter behov:

• Köra en identifieringscykel och visa rapporter för skannern
• Använd PowerShell för att konfigurera skannern för att tillämpa klassificering och skydd
• Använd PowerShell för att konfigurera en DLP-princip med skannern

I följande tabell visas PowerShell-cmdletar som är relevanta för att installera skannern och hantera dina innehållssökningsjobb:

Cmdlet	beskrivning
Add-ScannerRepository	Lägger till en ny lagringsplats i innehållssökningsjobbet.
Get-ScannerConfiguration	Returnerar information om klustret.
Get-ScannerContentScan	Hämtar information om ditt innehållsgenomsökningsjobb.
Get-ScannerRepository	Hämtar information om lagringsplatser som har definierats för ditt innehållsgenomsökningsjobb.
Remove-ScannerContentScan	Tar bort innehållssökningsjobbet.
Remove-ScannerRepository	Tar bort en lagringsplats från innehållssökningsjobbet.
Set-ScannerContentScan	Definierar inställningar för innehållssökningsjobbet.
Set-ScannerRepository	Definierar inställningar för en befintlig lagringsplats i innehållssökningsjobbet.

Mer information finns i:

• Lär dig mer om informationsskyddsskannern
• Konfigurera och installera informationsskyddsskannern
• Hantera endast dina innehållsgenomsökningsjobb med Hjälp av PowerShell