共用方式為


由 21Vianet 營運的 Office 365 Microsoft Purview 資訊保護

本文涵蓋由 21Vianet 營運的 Office 365 Microsoft Purview 資訊保護 支援與商業供應專案之間的差異,這些供應專案僅限於提供先前稱為 Azure 資訊保護 (AIP)的供應專案,以及中國客戶的特定設定指示,包括如何安裝資訊保護掃描器和管理內容掃描工作。

21Vianet 與商業供應專案之間的差異

雖然我們的目標是使用由 21Vianet 供應項目運作的 Office 365 Microsoft Purview 資訊保護 支援,向中國客戶提供所有商業特性和功能,但缺少一些功能:

  • 只有 Microsoft 365 Apps 企業版 支援 Active Directory Rights Management Services (AD RMS) 加密(組建 11731.10000 或更新版本)。 Office 專業版 Plus 不支援 AD RMS。

  • 目前無法使用從 AD RMS 移轉至 AIP。

  • 支援在商業雲端中與使用者共享受保護的電子郵件。

  • 目前無法使用與商業雲端中用戶共用檔和電子郵件附件。 這包括由商業雲端中 21Vianet 使用者運作的 Office 365、由商業雲端中的 21Vianet 使用者所操作的非 Office 365,以及具有個人版 RMS 授權的使用者。

  • 目前無法使用具有 SharePoint 的 IRM(受 IRM 保護的網站和文檔庫)。

  • AD RMS 的行動裝置擴充功能目前無法使用。

  • Azure China 21Vianet 不支持行動 查看器

  • 合規性入口網站的掃描器區域無法供中國客戶使用。 使用 PowerShell 命令 ,而不是在入口網站中執行動作,例如管理和執行內容掃描作業。

  • 21Vianet 環境中 Microsoft Purview 資訊保護 用戶端的網路端點與其他雲端服務所需的端點不同。 需要從用戶端到下列端點的網路連線:

    • 下載標籤和標籤原則: *.protection.partner.outlook.cn
    • Azure Rights Management 服務: *.aadrm.cn
  • 使用者目前無法使用 文件追蹤和撤銷

21Vianet 中客戶的設定

若要設定由 21Vianet 運作的 Office 365 支援 Microsoft Purview 資訊保護:

  1. 為租用戶啟用 Rights Management。

  2. 新增 Microsoft 資訊保護 Sync Service 服務主體

  3. 設定 DNS 加密

  4. 安裝和設定 Microsoft Purview 資訊保護 用戶端

  5. 設定 Windows 設定

  6. 安裝資訊保護掃描器並管理內容掃描作業

步驟 1:為租用戶啟用 Rights Management

若要讓加密正常運作,必須為租用戶啟用 Rights Management Service (RMS)。

  1. 檢查 RMS 是否已啟用:

    1. 以系統管理員身分啟動PowerShell。
    2. 如果未安裝 AIPService 模組, 請執行 Install-Module AipService
    3. 使用 匯入 Import-Module AipService模組。
    4. 使用 Connect-AipService -environmentname azurechinacloud連線 至服務。
    5. 執行 (Get-AipServiceConfiguration).FunctionalState 並檢查狀態是否為 Enabled
  2. 如果功能狀態為 Disabled,請執行 Enable-AipService

步驟 2:新增 Microsoft 資訊保護 Sync Service 服務主體

根據預設,Azure 中國租使用者不提供 Microsoft 資訊保護 Sync Service 服務主體,且 Azure 資訊保護 為必要專案。 透過 Azure Az PowerShell 模組手動建立此服務主體。

  1. 如果您沒有安裝 Azure Az 模組,請加以安裝或使用 Azure Az 模組預安裝的資源,例如 Azure Cloud Shell。 如需詳細資訊,請參閱安裝 Azure PowerShell 模組

  2. 使用 連線-AzAccount Cmdlet 和環境azurechinacloud名稱 連線 至服務:

    Connect-azaccount -environmentname azurechinacloud
    
  3. 使用 New-AzADServicePrincipal Cmdlet 和 870c4f2e-85b6-4d43-bdda-6ed9a579b725 Microsoft Purview 資訊保護 Sync Service 的應用程式識別符,手動建立 Microsoft 資訊保護 Sync Service 服務主體:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
    
  4. 新增服務主體之後,將所需的相關許可權新增至服務。

步驟 3:設定 DNS 加密

若要讓加密正常運作,Office 用戶端應用程式必須連線到中國的服務實例,並從該處啟動程式。 若要將用戶端應用程式重新導向至正確的服務實例,租用戶系統管理員必須使用 Azure RMS URL 的相關信息來設定 DNS SRV 記錄。 如果沒有 DNS SRV 記錄,用戶端應用程式預設會嘗試連線到公用雲端實例,而且將會失敗。

此外,假設用戶會根據租用戶擁有的網域(例如 joe@contoso.cn), 而不是 onmschina 使用者名稱登入 (例如, joe@contoso.onmschina.cn)。 來自使用者名稱的功能變數名稱用於 DNS 重新導向至正確的服務實例。

設定 DNS 加密 - Windows

  1. 取得 RMS 識別碼:

    1. 以系統管理員身分啟動PowerShell。
    2. 如果未安裝 AIPService 模組, 請執行 Install-Module AipService
    3. 使用 Connect-AipService -environmentname azurechinacloud連線 至服務。
    4. 執行 (Get-AipServiceConfiguration).RightsManagementServiceId 以取得 RMS 識別碼。
  2. 登入您的 DNS 提供者,流覽至網域的 DNS 設定,然後新增 SRV 記錄。

    • 服務 = _rmsredir
    • 通訊協定 = _http
    • Name = _tcp
    • 目標 = [GUID].rms.aadrm.cn (其中 GUID 是 RMS 識別子)
    • Priority、Weight、Seconds、TTL = 預設值
  3. 將自定義網域與 Azure 入口網站 中的租用戶產生關聯。 這會在 DNS 中新增專案,這可能需要幾分鐘的時間才能在您將值新增至 DNS 設定之後進行驗證。

  4. 使用對應的全域管理員認證登入 Microsoft 365 系統管理中心,並新增網域(例如contoso.cn),以建立使用者。 在驗證程式中,可能需要其他 DNS 變更。 驗證完成後,即可建立使用者。

設定 DNS 加密 - Mac、iOS、Android

登入您的 DNS 提供者,流覽至網域的 DNS 設定,然後新增 SRV 記錄。

  • 服務 = _rmsdisco
  • 通訊協定 = _http
  • Name = _tcp
  • 目標 = api.aadrm.cn
  • 埠 = 80
  • Priority、Weight、Seconds、TTL = 預設值

步驟 4:安裝和設定標籤用戶端

Microsoft 下載中心下載並安裝 Microsoft Purview 資訊保護 用戶端。

如需詳細資訊,請參閱

步驟 5:設定 Windows 設定

Windows 需要下列登錄機碼來進行驗證,以指向 Azure 中國的正確主權雲端:

  • 登錄節點 = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Name = CloudEnvType
  • Value = 6 (預設值 = 0)
  • 類型 = REG_DWORD

重要

在卸載之後,請確定您不會刪除登錄機碼。 如果索引鍵是空的、不正確的或不存在的,則功能會作為預設值(商業雲端的預設值 = 0)。 如果索引鍵是空的或不正確的,列印錯誤也會新增至記錄檔。

步驟 6:安裝資訊保護掃描器和管理內容掃描作業

安裝 Microsoft Purview 資訊保護 掃描器以掃描您的網路和內容共用是否有敏感數據,並套用組織原則中所設定的分類和保護標籤。

設定和管理內容掃描作業時,請使用下列程式,而不是商業供應專案所使用的 Microsoft Purview 合規性入口網站

如需詳細資訊,請參閱 瞭解資訊保護掃描器 和使用 PowerShell管理內容掃描工作。

若要安裝與設定掃描器

  1. 登入將執行掃描器的 Windows Server 電腦。 使用具有本機系統管理員許可權且有權寫入 SQL Server master 資料庫的帳戶。

  2. 從 PowerShell 關閉開始。 如果您先前已安裝資訊保護掃描器,請確定已停止 Microsoft Purview 資訊保護 掃描器服務。

  3. 使用 [ 以系統管理員 身分執行] 選項開啟 Windows PowerShell 會話。

  4. 執行 Install-Scanner Cmdlet,指定要為其建立 Microsoft Purview 資訊保護 掃描器資料庫的 SQL Server 實例,併為掃描儀叢集指定有意義的名稱。

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    提示

    您可以在 Install-Scanner 命令中使用相同的叢集名稱,將多個掃描器節點與相同的叢集產生關聯。 針對多個掃描器節點使用相同的叢集,可讓多個掃描器一起運作以執行掃描。

  5. 使用 管理員 istrative Tools>Services 確認服務現在已安裝服務。

    已安裝的服務會命名為 Microsoft Purview 資訊保護 Scanner,並使用您所建立的掃描器服務帳戶來設定為執行。

  6. 取得要與您的掃描器搭配使用的 Azure 令牌。 Microsoft Entra 令牌可讓掃描器向 Azure 資訊保護 服務進行驗證,讓掃描器以非互動方式執行。

    1. 開啟 Azure 入口網站 並建立 Microsoft Entra 應用程式,以指定驗證的存取令牌。 如需詳細資訊,請參閱如何以非互動方式為 Azure 資訊保護 標記檔案。

    2. 從 Windows Server 計算機,如果您的掃描器服務帳戶已獲得 安裝本機登入 許可權,請使用此帳戶登入並啟動 PowerShell 工作階段。

      如果您的掃描儀服務帳戶無法授與安裝本機登入的許可權,請使用 OnBehalfOf 參數搭配 Set-Authentication,如如何以非互動方式為 Azure 資訊保護 標記檔案中所述

    3. 執行 Set-Authentication,指定從 Microsoft Entra 應用程式複製的值:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    例如:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    掃描器現在有令牌可向 Microsoft Entra ID 進行驗證。 根據您在 Microsoft Entra ID 中 Web 應用程式 /API 用戶端密碼的設定,此令牌的有效期限為一年、兩年或永不。 令牌到期時,您必須重複此程式。

  7. 執行 Set-ScannerConfiguration Cmdlet,將掃描器設定為在離線模式中運作。 請執行:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  8. 執行 Set-ScannerContentScanJob Cmdlet 來建立預設的內容掃描作業。

    Set-ScannerContentScanJob Cmdlet 中唯一必要的參數是 Enforce。 不過,您可能想要目前定義內容掃描作業的其他設定。 例如:

    Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    上述語法會在您繼續設定時設定下列設定:

    • 讓掃描器執行排程保持 手動
    • 設定要根據敏感度標籤原則探索的資訊類型
    • 不會強制執行敏感度標籤原則
    • 使用針對敏感度標籤原則定義的預設標籤,根據內容自動標記檔案
    • 不允許重新標記檔案
    • 掃描和自動套用標籤時保留檔案詳細數據,包括 修改日期上次修改 修改
    • 設定掃描器在執行時排除.msg和.tmp檔案
    • 將預設擁有者設定為執行掃描器時要使用的帳戶
  9. 使用 Add-ScannerRepository Cmdlet 來定義您要在內容掃描作業中掃描的存放庫。 例如,執行:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    依您要新增的存放庫類型,使用下列其中一個語法:

    • 針對網路共用,請使用 \\Server\Folder
    • 針對 SharePoint 文件庫,請使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
    • 針對本機路徑: C:\Folder
    • 針對 UNC 路徑: \\Server\Folder

    注意

    不支援通配符,且不支援 WebDav 位置。

    若要稍後修改存放庫,請改用 Set-ScannerRepository Cmdlet。

視需要繼續進行下列步驟:

下表列出與安裝掃描器和管理內容掃描作業相關的 PowerShell Cmdlet:

指令程式 描述
Add-ScannerRepository 將新的存放庫新增至內容掃描作業。
Get-ScannerConfiguration 傳回叢集的詳細數據。
Get-ScannerContentScan 取得內容掃描作業的詳細數據。
Get-ScannerRepository 取得針對內容掃描作業定義的存放庫詳細數據。
Remove-ScannerContentScan 刪除內容掃描作業。
Remove-ScannerRepository 從內容掃描作業中移除存放庫。
Set-ScannerContentScan 定義內容掃描作業的設定。
Set-ScannerRepository 定義內容掃描作業中現有存放庫的設定。

如需詳細資訊,請參閱