Share via

Microsoft Purview Information Protection pro Office 365 provozovaný společností 21Vianet

  • Článek

Tento článek popisuje rozdíly mezi podporou Microsoft Purview Information Protection pro Office 365 provozovanými společností 21Vianet a komerčními nabídkami, které jsou omezené na nabídky dříve označované jako Azure Information Protection (AIP), a také konkrétní pokyny ke konfiguraci pro zákazníky v Číně, včetně toho, jak nainstalovat skener ochrany informací a spravovat úlohy kontroly obsahu.

Rozdíly mezi 21Vianetem a komerčními nabídkami

Naším cílem je poskytovat zákazníkům v Číně všechny komerční funkce s podporou Microsoft Purview Information Protection pro Office 365 provozovanou nabídkou 21Vianet, ale chybí některé funkce:

  • šifrování služba AD RMS (Active Directory Rights Management Services) (AD RMS) se podporuje jenom v Microsoft 365 Apps pro velké organizace (build 11731.10000 nebo novější). Office pro profesionály Plus nepodporuje službu AD RMS.

  • Migrace ze služby AD RMS na AIP není momentálně dostupná.

  • Podporuje se sdílení chráněných e-mailů s uživateli v komerčním cloudu.

  • Sdílení dokumentů a e-mailových příloh s uživateli v komerčním cloudu v současné době není k dispozici. To zahrnuje Office 365 provozovaný uživateli 21Vianet v komerčním cloudu, mimo Office 365 provozovaných uživateli 21Vianet v komerčním cloudu a uživatele s licencí RMS for Individuals.

  • IRM se sharepointovými weby a knihovnami chráněnými technologií IRM momentálně není k dispozici.

  • Rozšíření pro mobilní zařízení pro SLUŽBU AD RMS není v současné době k dispozici.

  • Azure China 21Vianet nepodporuje Mobile Viewer.

  • Oblast skeneru portálu dodržování předpisů není pro zákazníky v Číně dostupná. Místo provádění akcí na portálu používejte příkazy PowerShellu, jako je správa a spouštění úloh prohledávání obsahu.

  • Koncové body sítě pro klienta Microsoft Purview Information Protection v prostředí 21Vianet se liší od koncových bodů požadovaných pro jiné cloudové služby. Vyžaduje se síťové připojení z klientů k následujícím koncovým bodům:

    • Stažení zásad popisku a popisků: *.protection.partner.outlook.cn
    • Služba Azure Rights Management: *.aadrm.cn

  • Sledování dokumentů a odvolání odvolaných uživatelů momentálně nejsou k dispozici.

Konfigurace pro zákazníky ve službě 21Vianet

Konfigurace podpory microsoft Purview Information Protection pro Office 365 provozovaný společností 21Vianet:

  1. Povolte službu Rights Management pro tenanta.

  2. Přidejte instanční objekt služby synchronizace Microsoft Information Protection.

  3. Nakonfigurujte šifrování DNS.

  4. Nainstalujte a nakonfigurujte klienta Microsoft Purview Information Protection.

  5. Nakonfigurujte nastavení Windows.

  6. Nainstalujte skener ochrany informací a spravujte úlohy kontroly obsahu.

Krok 1: Povolení služby Rights Management pro tenanta

Aby šifrování fungovalo správně, musí být pro tenanta povolená služba rights management (RMS).

  1. Zkontrolujte, jestli je služba RMS povolená:

    1. Spusťte PowerShell jako správce.
    2. Pokud není nainstalovaný modul AIPService, spusťte Install-Module AipServicepříkaz .
    3. Importujte modul pomocí Import-Module AipService.
    4. Připojení do služby pomocí Connect-AipService -environmentname azurechinacloud.
    5. Spusťte (Get-AipServiceConfiguration).FunctionalState a zkontrolujte, jestli je Enabledstav .

  2. Pokud je Disabledfunkční stav , spusťte Enable-AipService.

Krok 2: Přidání instančního objektu služby Microsoft Information Protection Sync

Instanční objekt služby Synchronizace služby Microsoft Information Protection není ve výchozím nastavení k dispozici v tenantech Azure China a vyžaduje se pro Službu Azure Information Protection. Tento instanční objekt vytvořte ručně pomocí modulu Azure Az PowerShell.

  1. Pokud nemáte nainstalovaný modul Azure Az, nainstalujte ho nebo použijte prostředek, ve kterém je předinstalovaný modul Azure Az, například Azure Cloud Shell. Další informace najdete v tématu Instalace modulu Azure Az PowerShell.

  2. Připojení do služby pomocí rutiny Připojení-AzAccount a azurechinacloud názvu prostředí:

    Connect-azaccount -environmentname azurechinacloud

  3. Pomocí rutiny New-AzADServicePrincipal a 870c4f2e-85b6-4d43-bdda-6ed9a579b725 ID aplikace pro synchronizační službu Microsoft Purview Information Protection vytvořte instanční objekt služby Synchronizace služby Microsoft Information Protection ručně:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. Po přidání instančního objektu přidejte příslušná oprávnění požadovaná ke službě.

Krok 3: Konfigurace šifrování DNS

Aby šifrování fungovalo správně, musí se klientské aplikace Office připojit k instanci služby v Číně a odtud spustit. Aby bylo možné přesměrovat klientské aplikace na správnou instanci služby, musí správce tenanta nakonfigurovat záznam SRV DNS s informacemi o adrese URL služby Azure RMS. Bez záznamu DNS SRV se klientská aplikace pokusí ve výchozím nastavení připojit k instanci veřejného cloudu a selže.

Předpokládá se také, že se uživatelé budou přihlašovat pomocí uživatelského jména založeného na doméně vlastněné tenantem (například joe@contoso.cn) a ne onmschina pomocí uživatelského jména (například joe@contoso.onmschina.cn). Název domény z uživatelského jména se používá pro přesměrování DNS na správnou instanci služby.

Konfigurace šifrování DNS – Windows

  1. Získejte ID SLUŽBY RMS:

    1. Spusťte PowerShell jako správce.
    2. Pokud není nainstalovaný modul AIPService, spusťte Install-Module AipServicepříkaz .
    3. Připojení do služby pomocí Connect-AipService -environmentname azurechinacloud.
    4. Spuštěním (Get-AipServiceConfiguration).RightsManagementServiceId získáte ID SLUŽBY RMS.

  2. Přihlaste se ke svému poskytovateli DNS, přejděte do nastavení DNS pro doménu a přidejte nový záznam SRV.

    • Služba = _rmsredir
    • Protokol = _http
    • Name = _tcp
    • Target = [GUID].rms.aadrm.cn (kde GUID je ID SLUŽBY RMS)
    • Priorita, váha, sekundy, hodnota TTL = výchozí hodnoty

  3. Přidružte vlastní doménu k tenantovi na webu Azure Portal. Tím se přidá položka v DNS, která může trvat několik minut, než se ověří po přidání hodnoty do nastavení DNS.

  4. Přihlaste se k Centrum pro správu Microsoftu 365 s odpovídajícími přihlašovacími údaji globálního správce a přidejte doménu (napříkladcontoso.cn) pro vytvoření uživatele. V procesu ověření se můžou vyžadovat další změny DNS. Po ověření je možné uživatele vytvořit.

Konfigurace šifrování DNS – Mac, iOS, Android

Přihlaste se ke svému poskytovateli DNS, přejděte do nastavení DNS pro doménu a přidejte nový záznam SRV.

  • Služba = _rmsdisco
  • Protokol = _http
  • Name = _tcp
  • Target = api.aadrm.cn
  • Port = 80
  • Priorita, váha, sekundy, hodnota TTL = výchozí hodnoty

Krok 4: Instalace a konfigurace klienta popisování

Stáhněte a nainstalujte klienta služby Microsoft Purview Information Protection z webu Stažení softwaru.

Další informace naleznete v tématu:

Krok 5: Konfigurace nastavení Windows

Systém Windows potřebuje pro ověření následující klíč registru, který bude odkazovat na správný suverénní cloud pro Azure China:

  • Uzel registru = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Name = CloudEnvType
  • Hodnota = 6 (výchozí = 0)
  • Typ = REG_DWORD

Důležité

Ujistěte se, že po odinstalaci neodstraníte klíč registru. Pokud je klíč prázdný, nesprávný nebo neexistující, funkce se budou chovat jako výchozí hodnota (výchozí hodnota = 0 pro komerční cloud). Pokud je klíč prázdný nebo nesprávný, přidá se do protokolu také chyba tisku.

Krok 6: Instalace skeneru ochrany informací a správa úloh kontroly obsahu

Nainstalujte skener Microsoft Purview Information Protection, který prohledává citlivá data v síti a sdílených složkách obsahu, a použijte klasifikace a popisky ochrany nakonfigurované v zásadách vaší organizace.

Při konfiguraci a správě úloh prohledávání obsahu použijte místo Portál dodržování předpisů Microsoft Purview, které komerční nabídky používají, následující postup.

Další informace najdete v tématu Informace o skeneru ochrany informací a správě úloh kontroly obsahu pouze pomocí PowerShellu.

Instalace a konfigurace skeneru:

  1. Přihlaste se k počítači s Windows Serverem, na který se spustí skener. Použijte účet, který má oprávnění místního správce a který má oprávnění k zápisu do hlavní databáze SQL Serveru.

  2. Začněte zavřeným PowerShellem. Pokud jste dříve nainstalovali skener ochrany informací, ujistěte se, že je služba Microsoft Purview Information Protection Scanner zastavená.

  3. Otevřete relaci Prostředí Windows PowerShell s možností Spustit jako správce .

  4. Spusťte rutinu Install-Scanner , zadejte instanci SYSTÉMU SQL Server, ve které chcete vytvořit databázi pro skener Microsoft Purview Information Protection a smysluplný název pro váš cluster skeneru.

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>

    Tip

    Stejný název clusteru můžete použít v příkazu Install-Scanner k přidružení více uzlů skeneru ke stejnému clusteru. Použití stejného clusteru pro více uzlů skeneru umožňuje, aby několik skenerů spolupracovalo na provádění kontrol.

  5. Pomocí služby Správa istrative Tools>Services ověřte, že je služba nainstalovaná.

    Nainstalovaná služba má název Microsoft Purview Information Protection Scanner a je nakonfigurovaná tak, aby běžela pomocí účtu služby skeneru, který jste vytvořili.

  6. Získejte token Azure pro použití se skenerem. Token Microsoft Entra umožňuje skeneru ověřit se ve službě Azure Information Protection, která skeneru umožňuje neinteraktivně spouštět.

    1. Otevřete web Azure Portal a vytvořte aplikaci Microsoft Entra, která určí přístupový token pro ověřování. Další informace najdete v tématu Popisování souborů neinteraktivně pro Azure Information Protection.

      Tip

      Při vytváření a konfiguraci aplikací Microsoft Entra pro příkaz Set-Authentication se v podokně Oprávnění rozhraní API požadavku zobrazí rozhraní API, která moje organizace používámísto karty Microsoft API. Vyberte rozhraní API, která moje organizace používá k výběru služby Azure Rights Management Services.

    2. Pokud byl na počítači s Windows Serverem udělen účet služby skeneru místně, přihlaste se pomocí tohoto účtu a spusťte relaci PowerShellu.

      Pokud se vašemu účtu služby skeneru nedá udělit oprávnění k místnímu přihlášení pro instalaci, použijte parametr OnBehalfOf s nastavením ověřování, jak je popsáno v tématu Popisování souborů neinteraktivně pro Azure Information Protection.

    3. Spusťte Set-Authentication a zadejte hodnoty zkopírované z vaší aplikace Microsoft Entra:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Příklad:

    $pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    Skener teď má token pro ověření pro MICROSOFT Entra ID. Tento token je platný po dobu jednoho roku, dvou let nebo nikdy podle vaší konfigurace tajného klíče klienta /API webové aplikace v Microsoft Entra ID. Po vypršení platnosti tokenu je nutné tento postup zopakovat.

  7. Spuštěním rutiny Set-ScannerConfiguration nastavte skener tak, aby fungoval v offline režimu. Run (Spuštění):

    Set-ScannerConfiguration -OnlineConfiguration Off

  8. Spuštěním rutiny Set-ScannerContentScanJob vytvořte výchozí úlohu kontroly obsahu.

    Jediný povinný parametr v rutině Set-ScannerContentScanJob je Enforce. V tuto chvíli ale můžete chtít definovat další nastavení pro úlohu kontroly obsahu. Příklad:

    Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    Výše uvedená syntaxe konfiguruje následující nastavení, zatímco budete pokračovat v konfiguraci:

    • Udržuje plánování spuštění skeneru do ručního
    • Nastaví typy informací, které se mají zjistit na základě zásad popisků citlivosti.
    • Nevynucuje zásadu popisování citlivosti.
    • Automaticky označí soubory na základě obsahu pomocí výchozího popisku definovaného pro zásady popisování citlivosti.
    • Nepovoluje opětovné označování souborů.
    • Zachovává podrobnosti o souboru při kontrole a automatickém popisování, včetně data změny, poslední změny a změny podle hodnot.
    • Nastaví skener tak, aby při spuštění vyloučil soubory .msg a .tmp.
    • Nastaví výchozího vlastníka na účet, který chcete použít při spuštění skeneru.

  9. Pomocí rutiny Add-ScannerRepository definujte úložiště, která chcete kontrolovat v úloze kontroly obsahu. Například spusťte:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    V závislosti na typu úložiště, které přidáváte, použijte jednu z následujících syntaxí:

    • Pro sdílenou síťovou složku použijte \\Server\Folder.
    • Pro sharepointovou knihovnu použijte http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Pro místní cestu: C:\Folder
    • Pro cestu UNC: \\Server\Folder

    Poznámka:

    Zástupné cardy nejsou podporovány a umístění WebDav nejsou podporována.

    Pokud chcete úložiště později upravit, použijte místo toho rutinu Set-ScannerRepository .

Podle potřeby pokračujte následujícími kroky:

Následující tabulka uvádí rutiny PowerShellu, které jsou relevantní pro instalaci skeneru a správu úloh kontroly obsahu:

Rutina Popis
Add-ScannerRepository Přidá do úlohy kontroly obsahu nové úložiště.
Get-ScannerConfiguration Vrátí podrobnosti o clusteru.
Get-ScannerContentScan Získá podrobnosti o vaší úloze kontroly obsahu.
Get-ScannerRepository Získá podrobnosti o úložištích definovaných pro vaši úlohu kontroly obsahu.
Remove-ScannerContentScan Odstraní úlohu kontroly obsahu.
Remove-ScannerRepository Odebere úložiště z úlohy kontroly obsahu.
Set-ScannerContentScan Definuje nastavení pro úlohu kontroly obsahu.
Set-ScannerRepository Definuje nastavení pro existující úložiště v úloze kontroly obsahu.

Další informace naleznete v tématu: