Azure Information Protection Premium Government Service Beschreibung

Hinweis

Um eine einheitliche und optimierte Kundenerfahrung zu bieten, werden der klassische Azure Information Protection-Client und das Label-Management im Azure-Portal für GCC-, GCC-H- und DoD-Kunden ab dem 31. September 2021 abgeschafft.

Der Classic-Client wurde am 31. März 2022 offiziell eingestellt und funktioniert seit diesem Zeitpunkt nicht mehr.

Alle derzeitigen Azure Information Protection Classic Client-Kunden müssen auf die Microsoft Purview Information Protection Unified Labeling Plattform migrieren und ein Upgrade auf den Unified Labeling Client durchführen. Erfahren Sie mehr in unserem Migrationsblog.

So verwenden Sie diesen Service Beschreibung

Die einheitliche Kennzeichnung von Azure Information Protection ist für GCC-, GCC High- und DoD-Kunden verfügbar.

Die Beschreibung des Azure Information Protection Premium Government Service soll Ihnen einen Überblick über unser Angebot in den Umgebungen des GCC High und des DoD geben und die Unterschiede zu den kommerziellen Azure Information Protection Premium Angeboten aufzeigen.

Azure Information Protection Premium Behörden- und Drittanbieterdienste

Einige Azure Information Protection Premium-Dienste bieten die Möglichkeit, nahtlos mit Anwendungen und Diensten von Drittanbietern zusammenzuarbeiten.

Diese Anwendungen und Dienste von Drittanbietern können das Speichern, Übertragen und Verarbeiten von Kundeninhalten Ihres Unternehmens auf Systemen von Drittanbietern beinhalten, die sich außerhalb der Azure Information Protection Premium-Infrastruktur befinden und daher nicht unter unsere Compliance- und Datenschutzverpflichtungen fallen.

Stellen Sie sicher, dass Sie die von den Drittanbietern bereitgestellten Datenschutz- und Compliance-Erklärungen prüfen, wenn Sie die angemessene Nutzung dieser Dienste für Ihr Unternehmen beurteilen.

Parität mit den kommerziellen Premium-Angeboten von Azure Information Protection

Informationen zu den bekannten Lücken zwischen Azure Information Protection Premium GCC High/DoD und dem kommerziellen Angebot finden Sie in der Cloud-Funktionsverfügbarkeit für US-Regierungskunden für Azure Information Protection.

Konfigurieren von Azure Information Protection für GCC High und DoD Kunden

Die folgenden Konfigurationsdetails gelten für alle Azure Information Protection-Lösungen für GCC High und DoD-Kunden, einschließlich Unified Labeling-Lösungen.

• Aktivieren Sie die Rechteverwaltung für den Tenant
• DNS-Konfiguration für Verschlüsselung (Windows)
• DNS-Konfiguration für Verschlüsselung (Mac, iOS, Android)
• Label Migration
• AIP-Apps Konfiguration

Wichtig

Ab dem Update vom Juli 2020 können alle neuen GCC High-Kunden der Azure Information Protection Unified Labeling-Lösung nur noch die Funktionen des Menüs Allgemein und des Menüs Scanner nutzen.

Aktivieren Sie die Rechteverwaltung für den Tenant

Damit die Verschlüsselung korrekt funktioniert, muss der Rights Management Service für den Tenant aktiviert sein.

• Überprüfen Sie, ob der Rights Management-Dienst aktiviert ist
  • PowerShell als Administrator starten
  • Führen Sie Install-Module aadrm aus, wenn das AADRM-Modul nicht installiert ist
  • Verbinden Sie sich mit dem Dienst über Connect-aadrmservice -environmentname azureusgovernment
  • Führen Sie (Get-AadrmConfiguration).FunctionalState aus und überprüfen Sie, ob der Status Enabled ist
• Wenn der Funktionsstatus Disabled ist, führen Sie Enable-Aadrm aus.

DNS-Konfiguration für Verschlüsselung (Windows)

Damit die Verschlüsselung korrekt funktioniert, müssen sich Office-Client-Anwendungen mit der GCC-, GCC High/DoD-Instanz des Dienstes verbinden und von dort booten. Um Client-Anwendungen an die richtige Service-Instanz umzuleiten, muss der Tenant-Administrator einen DNS SRV-Eintrag mit Informationen über die Azure RMS-URL konfigurieren. Ohne den DNS SRV-Eintrag wird die Client-Anwendung standardmäßig versuchen, eine Verbindung mit der öffentlichen Cloud-Instanz herzustellen, was fehlschlägt.

Außerdem wird davon ausgegangen, dass sich die Benutzer mit dem Benutzernamen anmelden, der auf der Domäne des Tenant basiert (z. B.: joe@contoso.us), und nicht mit dem Benutzernamen von onmicrosoft (z. B.: joe@contoso.onmicrosoft.us). Der Domänenname aus dem Benutzernamen wird für die DNS-Umleitung zur richtigen Service-Instanz verwendet.

• Abrufen der Rights Management Service ID
  • PowerShell als Administrator starten
  • Wenn das AADRM-Modul nicht installiert ist, führen Sie Install-Module aadrm aus
  • Verbinden Sie sich mit dem Dienst über Connect-aadrmservice -environmentname azureusgovernment
  • (Get-aadrmconfiguration).RightsManagementServiceId ausführen, um die Rights Management Service ID zu erhalten
• Melden Sie sich bei Ihrem DNS-Anbieter an und navigieren Sie zu den DNS-Einstellungen für die Domain, um einen neuen SRV-Eintrag hinzuzufügen
  • Service = _rmsredir
  • Protokoll = _http
  • Name = _tcp
  • Target = [GUID].rms.aadrm.us (wobei GUID die ID des Rights Management Service ist)
  • Port = 80
  • Priorität, Gewicht, Sekunden, TTL = Standardwerte
• Verknüpfen Sie die benutzerdefinierte Domäne mit dem Tenant im Azure portal. Durch die Zuordnung der benutzerdefinierten Domäne wird ein Eintrag im DNS hinzugefügt, dessen Überprüfung nach dem Hinzufügen des Wertes einige Minuten dauern kann.
• Melden Sie sich im Office Admin Center mit den entsprechenden globalen Admin-Zugangsdaten an und fügen Sie die Domäne (Beispiel: contoso.us) für die Erstellung von Benutzern hinzu. Bei der Überprüfung sind möglicherweise weitere DNS-Änderungen erforderlich. Sobald die Überprüfung abgeschlossen ist, können Benutzer erstellt werden.

DNS-Konfiguration für Verschlüsselung (Mac, iOS, Android)

• Melden Sie sich bei Ihrem DNS-Anbieter an und navigieren Sie zu den DNS-Einstellungen für die Domain, um einen neuen SRV-Eintrag hinzuzufügen
  • Service = _rmsdisco
  • Protokoll = _http
  • Name = _tcp
  • Ziel = api.aadrm.us
  • Port = 80
  • Priorität, Gewicht, Sekunden, TTL = Standardwerte

Label Migration

GCC High- und DoD-Kunden müssen alle vorhandenen Labels mit PowerShell migrieren. Traditionelle AIP-Migrationsmethoden sind für GCC High und DoD-Kunden nicht anwendbar.

Verwenden Sie das Cmdlet New-Label, um Ihre vorhandenen Vertraulichkeitsbezeichnungen zu migrieren. Befolgen Sie die Anweisungen zum Herstellen und Ausführen des Cmdlets mithilfe des Security & Compliance Centers , bevor Sie mit der Migration beginnen.

Migrationsbeispiel, wenn ein vorhandenes Sensibilitätslabel verschlüsselt ist:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

AIP-Apps Konfiguration

Wenn Sie mit dem Azure Information Protection-Client arbeiten, müssen Sie einen der folgenden Registrierungsschlüssel konfigurieren, damit Ihre AIP-Apps unter Windows auf die richtige Sovereign Cloud verweisen. Stellen Sie sicher, dass Sie die richtigen Werte für Ihre Einrichtung verwenden.

• AIP-Apps Konfiguration für den Unified Labeling Client
• AIP-Apps Konfiguration für den klassischen Client

AIP-Apps Konfiguration für den Unified Labeling Client

Relevant für: Nur der AIP Unified Labeling Client

Knotenpunkt in der Registrierung	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Name	CloudEnvType
Wert	0 = Kommerziell (Standard) 1 = GCC 2 = GCC High 3 = DoD
Typ	REG_DWORD

Hinweis

• Wenn dieser Registrierungsschlüssel leer ist, nicht korrekt ist oder fehlt, wird das Verhalten auf die Standardeinstellung (0 = Kommerziell) zurückgesetzt.
• Wenn der Schlüssel leer oder falsch ist, wird auch ein Druckfehler in das Protokoll aufgenommen.
• Achten Sie darauf, dass Sie den Registrierungsschlüssel nach der Deinstallation nicht löschen.

AIP-Apps Konfiguration für den klassischen Client

Relevant für: Nur der klassische AIP-Client

Knotenpunkt in der Registrierung	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Name	WebServiceUrl
Wert	https://api.informationprotection.azure.us
Typ	REG_SZ (Zeichenfolge)

Firewalls und Netzwerkinfrastruktur

Wenn Sie eine Firewall oder ähnliche zwischengeschaltete Netzwerkgeräte haben, die so konfiguriert sind, dass sie bestimmte Verbindungen zulassen, verwenden Sie die folgenden Einstellungen, um eine reibungslose Kommunikation für Azure Information Protection sicherzustellen.

• TLS client-to-service connection: Beenden Sie die TLS-Client-zu-Service-Verbindung zur rms.aadrm.us URL nicht (z. B. um eine Prüfung auf Paketebene durchzuführen).

  Sie können die folgenden PowerShell-Befehle verwenden, um festzustellen, ob Ihre Client-Verbindung abgebrochen wird, bevor sie den Azure Rights Management-Dienst erreicht:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  Das Ergebnis sollte zeigen, dass die ausstellende CA z. B. von einer Microsoft CA stammt: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Wenn Sie einen ausstellenden CA-Namen sehen, der nicht von Microsoft stammt, wird Ihre sichere Client-zu-Service-Verbindung wahrscheinlich abgebrochen und muss in Ihrer Firewall neu konfiguriert werden.

• Herunterladen von Labels und Label-Richtlinien (nur klassischer AIP-Klient): Damit der klassische Klient von Azure Information Protection Labels und Label-Richtlinien herunterladen kann, erlauben Sie die URL api.informationprotection.azure.us über HTTPS.

Weitere Informationen finden Sie unter:

• Office 365 U.S. Regierung DoD Endpunkte
• Endpunkte von Office 365 US Government GCC High

Diensttags

Stellen Sie sicher, dass Sie den Zugriff auf alle Ports für Service Tags erlauben:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend