Weitere Informationen finden Sie unter Azure Information Protection Unterstützung für Office 365 betrieben von 21Vianet.

In diesem Artikel werden die Unterschiede zwischen der Unterstützung von Azure Information Protection (AIP) für Office 365, betrieben von 21Vianet und kommerziellen Angeboten, sowie spezifische Anweisungen zum Konfigurieren von AIP für Kunden in China behandelt, einschließlich der Installation des Informationsschutzscanners und des Verwaltens von Inhaltsscanaufträgen.

Unterschiede zwischen AIP für Office 365, betrieben von 21Vianet und kommerziellen Angeboten

Unser Ziel ist es zwar, alle kommerziellen Features und Funktionen für Kunden in China mit unserem AIP für Office 365 bereitzustellen, das von 21Vianet betrieben wird, aber es gibt einige fehlende Funktionen, die wir hervorheben möchten.

Es folgt eine Liste der Lücken zwischen AIP für Office 365, betrieben von 21Vianet und unseren kommerziellen Angeboten:

• Die Ad RMS-Verschlüsselung (Active Directory Rights Management Services) wird nur in Microsoft 365 Apps for Enterprise (Build 11731.10000 oder höher) unterstützt. Office Professional Plus unterstützt AD RMS nicht.

• Die Migration von AD RMS zu AIP ist derzeit nicht verfügbar.

• Die Freigabe geschützter E-Mails mit Benutzern in der kommerziellen Cloud wird unterstützt.

• Die Freigabe von Dokumenten und E-Mail-Anlagen für Benutzer in der kommerziellen Cloud ist derzeit nicht verfügbar. Dies umfasst Office 365, betrieben von 21Vianet-Benutzern in der kommerziellen Cloud, nicht von Office 365 betrieben von 21Vianet-Benutzern in der kommerziellen Cloud und Benutzern mit einer RMS for Individuals-Lizenz.

• Informationen Rights Management mit SharePoint Online (IRM-geschützte Websites und Bibliotheken) sind derzeit nicht verfügbar.

• Die Mobilgeräteerweiterung für AD RMS ist derzeit nicht für Regierungskunden verfügbar.

• Der Mobile Viewer wird von Azure China 21Vianet nicht unterstützt.

• Der Scannerbereich des Complianceportals steht Kunden in China nicht zur Verfügung. Verwenden Sie PowerShell-Befehle , anstatt Aktionen im Portal auszuführen, z. B. das Verwalten und Ausführen von Inhaltsscanaufträgen.

• AIP-Endpunkte in Office 365, betrieben von 21Vianet, unterscheiden sich von den Endpunkten, die für andere Clouddienste erforderlich sind. Netzwerkkonnektivität von Clients mit den folgenden Endpunkten ist erforderlich:

  • Herunterladen von Bezeichnungs- und Bezeichnungsrichtlinien: *.protection.partner.outlook.cn
  • Azure Rights Management Service: *.aadrm.cn

• Dokumentkontrolle und Widerruf durch Benutzer ist derzeit nicht verfügbar.

Konfiguration von AIP für Kunden in China

Konfiguration von AIP für Kunden in China

1. Aktivieren Sie die Rechteverwaltung für den Mandanten.

2. Fügen Sie den Dienstprinzipal des Microsoft Information Protection-Synchronisierungsdiensts hinzu.

3. Konfigurieren sie die DNS-Verschlüsselung.

4. Konfigurieren und Installieren des Scanners für einheitliche Bezeichnungen

5. Konfigurieren sie AIP-Apps unter Windows.

6. Installieren Sie den Informationsschutzscanner, und verwalten Sie Inhaltsscanaufträge.

Schritt 1: Aktivieren der Rechteverwaltung für den Mandanten

Damit die Verschlüsselung ordnungsgemäß funktioniert, muss RMS für den Mandanten aktiviert sein.

1. Überprüfen, ob NFS aktiviert ist

   1. Starten Sie PowerShell als Administrator.
   2. Wenn das AIPService-Modul nicht installiert ist, führen Sie den Befehl aus Install-Module AipService.
   3. Importieren des Moduls Import-Module AipService.
   4. Verwenden Sie Connect-AipService -environmentname azurechinacloud, um eine Verbindung mit dem Dienst herzustellen.
   5. Führen Sie den Status aus, und überprüfen Sie (Get-AipServiceConfiguration).FunctionalState , ob der Zustand ist Enabled.

2. Wenn der Funktionszustand lautet Disabled, führen Sie den Befehl Enable-AipServiceaus.

Schritt 2: Hinzufügen des Microsoft Information Protection-Synchronisierungsdienstprinzipals

Der Microsoft Information Protection-Synchronisierungsdienstprinzipal ist standardmäßig nicht in Azure China-Mandanten verfügbar und ist für Azure Information Protection erforderlich. Erstellen Sie diesen Dienstprinzipal manuell über das Azure Az PowerShell-Modul.

1. Wenn Sie das Azure Az-Modul nicht installiert haben, installieren Sie es, oder verwenden Sie eine Ressource, in der das Azure Az-Modul vorinstalliert ist, z . B. Azure Cloud Shell. Weitere Informationen finden Sie unter Installieren des Azure Az PowerShell-Moduls.

2. Verbinden mit dem Cmdlet Verbinden-AzAccount und dem azurechinacloud Umgebungsnamen an den Dienst:

   Connect-azaccount -environmentname azurechinacloud
   

3. Erstellen Sie den Microsoft Information Protection-Synchronisierungsdienst mithilfe des Cmdlets New-AzADServicePrincipal und der 870c4f2e-85b6-4d43-bdda-6ed9a579b725 Anwendungs-ID für den Microsoft Purview Information Protection-Synchronisierungsdienst manuell:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. Fügen Sie nach dem Hinzufügen des Dienstprinzipals die für den Dienst erforderlichen relevanten Berechtigungen hinzu.

Schritt 3: Konfigurieren der DNS-Verschlüsselung

Damit die Verschlüsselung ordnungsgemäß funktioniert, müssen Office-Clientanwendungen von dort aus eine Verbindung mit der China-Instanz des Diensts und bootstrap herstellen. Um Clientanwendungen an die richtige Dienstinstanz umzuleiten, muss der Mandantenadministrator einen DNS SRV-Eintrag mit Informationen zur Azure RMS-URL konfigurieren. Ohne den DNS SRV-Eintrag versucht die Clientanwendung standardmäßig, eine Verbindung mit der öffentlichen Cloudinstanz herzustellen und schlägt fehl.

Außerdem wird davon ausgegangen, dass sich Benutzer mit einem Benutzernamen anmelden, der auf der Mandantenbesitz basiert Standard (zjoe@contoso.cn. B. ) und nicht mit dem onmschina Benutzernamen (zjoe@contoso.onmschina.cn. B. ). Der Name do Standard aus dem Benutzernamen wird für die DNS-Umleitung zur richtigen Dienstinstanz verwendet.

Konfigurieren der DNS-Verschlüsselung – Windows

1. Abrufen der RMS-ID:

   1. Starten Sie PowerShell als Administrator.
   2. Wenn das AIPService-Modul nicht installiert ist, führen Sie den Befehl aus Install-Module AipService.
   3. Verwenden Sie Connect-AipService -environmentname azurechinacloud, um eine Verbindung mit dem Dienst herzustellen.
   4. Führen Sie die Ausführung (Get-AipServiceConfiguration).RightsManagementServiceId aus, um die RMS-ID abzurufen.

2. Melden Sie sich bei Ihrem DNS-Anbieter an, navigieren Sie zu den DNS-Einstellungen für die Do Standard und fügen Sie dann einen neuen SRV-Eintrag hinzu.

   • Service = _rmsredir
   • Protokoll = _http
   • Name = _tcp
   • Target = [GUID].rms.aadrm.cn (wobei GUID die RMS-ID ist)
   • Priorität, Gewichtung, Sekunden, TTL = Standardwerte

3. Ordnen Sie die benutzerdefinierte Do Standard dem Mandanten im Azure-Portal zu. Dadurch wird ein Eintrag in DNS hinzugefügt, der mehrere Minuten dauern kann, bis der Wert den DNS-Einstellungen hinzugefügt wurde.

4. Melden Sie sich beim Microsoft 365 Admin Center mit den entsprechenden globalen Administratoranmeldeinformationen an, und fügen Sie die Do Standard (z. Bcontoso.cn. ) für die Benutzererstellung hinzu. Im Überprüfungsprozess sind möglicherweise zusätzliche DNS-Änderungen erforderlich. Sobald die Überprüfung abgeschlossen ist, können Benutzer erstellt werden.

Konfigurieren der DNS-Verschlüsselung – Mac, iOS, Android

Melden Sie sich bei Ihrem DNS-Anbieter an, navigieren Sie zu den DNS-Einstellungen für die Do Standard und fügen Sie dann einen neuen SRV-Eintrag hinzu.

• Service = _rmsdisco
• Protokoll = _http
• Name = _tcp
• Ziel = api.aadrm.cn
• Port = 80
• Priorität, Gewichtung, Sekunden, TTL = Standardwerte

Schritt 4: Installieren und Konfigurieren des AIP-Clients für einheitliche Bezeichnungen

Installieren Sie die aktuelle Version des Unified Labeling Client aus dem Microsoft Download Center.

Weitere Informationen finden Sie unter:

• AIP-Dokumentation
• AIP-Versionsverlauf und Supportrichtlinie
• Systemanforderungen für Mac
• AIP-Schnellstart: Bereitstellen des AIP-Clients
• Administratorhandbuch
• AIP-Benutzerhandbuch
• Informationen zu Vertraulichkeitsbezeichnungen

Schritt 5: Konfigurieren von AIP-Apps unter Windows

AIP-Apps unter Windows benötigen den folgenden Registrierungsschlüssel, um sie auf die richtige souveräne Cloud für Azure China zu verweisen:

• Registrierungsknoten = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Name = CloudEnvType
• Wert = 6 (Standardwert = 0)
• Typ = REG_DWORD

Wichtig

Stellen Sie sicher, dass Sie den Registrierungsschlüssel nach einer Deinstallation nicht löschen. Wenn der Schlüssel leer, falsch oder nicht vorhanden ist, verhält sich die Funktionalität als Standardwert (Standardwert = 0 für die kommerzielle Cloud). Wenn der Schlüssel leer oder falsch ist, wird dem Protokoll auch ein Druckfehler hinzugefügt.

Schritt 6: Installieren des Informationsschutzscanners und Verwalten von Inhaltsscanaufträgen

Der Scanner ermöglicht AIP-Administrator*innen das Scannen ihrer Netzwerke und Inhaltsfreigaben auf vertrauliche Daten sowie das Anwenden von Klassifizierungs- und Schutzbezeichnungen gemäß der Richtlinie ihrer Organisation.

Verwenden Sie beim Konfigurieren und Verwalten Ihrer Inhaltsscanaufträge das folgende Verfahren anstelle der Microsoft Purview-Complianceportal, die von den kommerziellen Angeboten verwendet wird.

Weitere Informationen finden Sie unter Informationen zum Informationsschutzscanner und zum Verwalten Ihrer Inhaltsscanaufträge nur mithilfe von PowerShell.

Zur Konfiguration und Installation des Scanners:

1. Melden Sie sich beim Windows Server-Computer an, auf dem der Scanner ausgeführt wird. Verwenden Sie ein Konto mit lokalen Administratorrechten und mit Berechtigungen zum Schreiben in die SQL Server-Datenbank.

2. Beginnen Sie mit geschlossener PowerShell. Wenn Sie den AIP-Client und -Scanner bereits installiert haben, stellen Sie sicher, dass der Dienst AIPScanner gestoppt ist.

3. Starten Sie eine Windows PowerShell-Sitzung mit der Option Als Administrator ausführen.

4. Führen Sie das Cmdlet Install-AIPScanner aus und geben Sie Ihre SQL Server-Instanz an, auf der eine Datenbank für den Azure Information Protection-Scanner erstellt werden soll:

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Tipp

   Sie können denselben Clusternamen im Befehl Install-AIPScanner verwenden, um demselben Cluster mehrere Scannerknoten zuzuordnen. Wenn Sie denselben Cluster für mehrere Scannerknoten verwenden, können mehrere Scanner zusammenarbeiten, um Ihre Scans durchzuführen.

5. Überprüfen Sie, ob der Dienst jetzt installiert ist, indem Sie Verwaltungstools>Dienste verwenden.

   Der installierte Dienst trägt den Namen Azure Information Protection Scanner und ist so konfiguriert, dass er über das von Ihnen erstellte Konto für den Scannerdienst ausgeführt wird.

6. Holen Sie sich ein Azure-Token, das Sie mit Ihrem Scanner verwenden können. Ein Microsoft Entra ID-Token ermöglicht es dem Scanner, sich beim Azure Information Protection-Dienst zu authentifizieren, so dass der Scanner nicht interaktiv ausgeführt werden kann.

   1. Erstellen Sie im Azure-Portal eine Azure AD-Anwendung, um ein Zugriffstoken für die Authentifizierung anzugeben. Weitere Informationen finden Sie unter Unbeaufsichtigtes Bezeichnen von Dateien für Azure Information Protection.

      Tipp

      Beim Erstellen und Konfigurieren von Microsoft Entra-Anwendungen für den Befehl Set-AIPAuthentication zeigt der Bereich API-Berechtigungen anfordern die REGISTERKARTE "APIs" meiner Organisation anstelle der Registerkarte Microsoft-APIs an. Wählen Sie die APIs aus, die meine Organisation verwendet, um Azure Rights Management Services auszuwählen.

   2. Melden Sie sich auf dem Windows Server-Computer mit diesem Konto an und starten Sie eine PowerShell-Sitzung, wenn Ihrem Scannerdienstkonto das Recht Lokal anmelden für die Installation erteilt wurde.

      Wenn Ihrem Scannerdienstkonto das Recht Lokal anmelden für die Installation nicht gewährt werden kann, verwenden Sie den Parameter OnBehalfOf mit Set-AIPAuthentication, wie in Wie man Dateien für Azure Information Protection nicht-interaktiv bezeichnet beschrieben.

   3. Führen Sie Set-AIPAuthentication aus, und geben Sie Werte an, die aus Ihrer Microsoft Entra-Anwendung kopiert wurden:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Zum Beispiel:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Das für die Authentifizierung bei Microsoft Entra ID verwendete Zugriffstoken. Dieses Token ist für ein Jahr, zwei Jahre oder nie gültig, je nach Ihrer Konfiguration des Web-App /API geheimer Clientschlüssel in Microsoft Entra ID. Sie müssen dieses Verfahren wiederholen, wenn das Token abläuft.

7. Führen Sie das Cmdlet Set-AIPScannerConfiguration aus, um den Scanner so einzustellen, dass er im Offline-Modus funktioniert. Führen Sie Folgendes aus:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Führen Sie das Cmdlet Set-AIPScannerContentScanJob aus, um einen Standardauftrag für die Inhaltssuche zu erstellen.

   Der einzige erforderliche Parameter im Cmdlet Set-AIPScannerContentScanJob ist Enforce. Möglicherweise möchten Sie zu diesem Zeitpunkt jedoch noch andere Einstellungen für Ihren Content-Scan-Auftrag festlegen. Zum Beispiel:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   Mit der obigen Syntax werden die folgenden Einstellungen konfiguriert, während Sie die Konfiguration fortsetzen:

   • Behält die Scannerlaufplanung auf manuell
   • Legt die Informationstypen fest, die auf der Grundlage der Vertraulichkeitsbezeichnungsrichtlinie ermittelt werden sollen
   • Setzt nicht eine Vertraulichkeitsbezeichnungsrichtlinie durch
   • Automatische Bezeichnung von Dateien auf der Grundlage des Inhalts unter Verwendung der für die Vertraulichkeitsbezeichnungsrichtlinie definierten Standardkennzeichnung
   • Erlaubt nicht die Umbenennung von Dateien
   • Behält die Dateidetails beim Scannen und der automatischen Bezeichnung bei, einschließlich der Werte geändertes Datum, zuletzt geändert und geändert von
   • Legt fest, dass der Scanner .msg- und .tmp-Dateien ausschließt, wenn er ausgeführt wird
   • Setzt den Standard-Besitzer auf das Konto, das Sie bei der Ausführung des Scanners verwenden möchten

9. Verwenden Sie das Cmdlet Add-AIPScannerRepository, um die Repositorys zu definieren, die Sie in Ihrem Content Scan-Auftrag scannen möchten. Führen Sie zum Beispiel aus:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Verwenden Sie eine der folgenden Syntaxen, je nachdem, welche Art von Repository Sie hinzufügen:

   • Für eine Netzwerkfreigabe verwenden Sie \\Server\Folder.
   • Verwenden Sie http://sharepoint.contoso.com/Shared%20Documents/Folder für eine SharePoint-Bibliothek
   • Für einen lokalen Pfad: C:\Folder
   • Für einen UNC-Pfad: \\Server\Folder

   Hinweis

   Wild Karte s werden nicht unterstützt, und WebDav-Speicherorte werden nicht unterstützt.

   Um das Repository später zu ändern, verwenden Sie stattdessen das Cmdlet Set-AIPScannerRepository.

Fahren Sie je nach Bedarf mit den folgenden Schritten fort:

• Ausführen eines Ermittlungszyklus und Anzeigen von Berichten für die Überprüfung
• Verwenden Sie PowerShell, um den Scanner für die Anwendung von Klassifizierung und Schutz zu konfigurieren
• Verwenden Sie PowerShell, um eine DLP-Richtlinie mit dem Scanner zu konfigurieren

In der folgenden Tabelle sind PowerShell-Cmdlets aufgeführt, die für die Installation des Scanners und die Verwaltung Ihrer Inhaltsscanaufträge relevant sind:

Cmdlet	Beschreibung
Add-AIPScannerRepository	So fügen Sie Ihrem Inhaltsscanauftrag gefährdete Repositorys hinzu
Import-AIPScannerConfiguration	Gibt Details zu Ihrem Cluster zurück.
Get-AIPScannerContentScanJob	Ruft Details zu Ihrem Inhaltsscanauftrag ab.
Get-AIPScannerRepository	Ruft Details zu Repositorys ab, die für Ihren Inhaltsscanauftrag definiert sind.
Remove-AIPScannerContentScanJob	Löscht Ihren Inhaltsscanauftrag.
Remove-AIPScannerRepository	Entfernt ein Repository aus Ihrem Inhaltsscanauftrag.
Set-AIPScannerContentScanJob	Definiert Einstellungen für Ihren Inhaltsscanauftrag.
Set-AIPScannerRepository	Definiert Einstellungen für ein vorhandenes Repository in Ihrem Inhaltsscanauftrag.

Weitere Informationen finden Sie unter:

• Informationen zur Information Protection-Überprüfung
• Konfigurieren und Installieren des Informationsschutzscanners
• Verwalten Ihrer Inhaltsscan-Aufträge nur mithilfe von PowerShell: