Compatibilidad de Azure Information Protection con Office 365 operado por 21Vianet

  • Artículo

En este artículo se tratan las diferencias entre la compatibilidad de Azure Information Protection (AIP) con Office 365 operada por 21Vianet y ofertas comerciales, así como instrucciones específicas para configurar AIP para clientes de China, incluido cómo instalar el analizador de protección de la información y administrar trabajos de examen de contenido.

Diferencias entre AIP para Office 365 operado por 21Vianet y ofertas comerciales

Aunque nuestro objetivo es ofrecer todas las características y funcionalidades comerciales a los clientes de China con nuestro AIP para Office 365 operado por la oferta de 21Vianet, falta alguna funcionalidad que nos gustaría resaltar.

A continuación se muestra una lista de brechas entre AIP para Office 365 operado por 21Vianet y nuestras ofertas comerciales:

  • El cifrado de Active Directory Rights Management Services (AD RMS) solo se admite en Aplicaciones Microsoft 365 para empresas (compilación 11731.10000 o posterior). Office Profesional Plus no admite AD RMS.

  • La migración de AD RMS a AIP no está disponible actualmente.

  • Se admite el uso compartido de correos electrónicos protegidos con usuarios en la nube comercial.

  • El uso compartido de documentos y datos adjuntos de correo electrónico con los usuarios de la nube comercial no está disponible actualmente. Esto incluye Office 365 operado por usuarios de 21Vianet en la nube comercial, no Office 365 operado por usuarios de 21Vianet en la nube comercial y usuarios con una licencia RMS para particulares.

  • IRM con SharePoint (sitios y bibliotecas protegidos por IRM) no está disponible actualmente.

  • La extensión de dispositivo móvil para AD RMS no está disponible actualmente.

  • El Visor móvil no es compatible con Azure China 21Vianet.

  • El área de escáner del portal de cumplimiento no está disponible para los clientes de China. Use comandos de PowerShell en lugar de realizar acciones en el portal, como administrar y ejecutar los trabajos de examen de contenido.

  • Los puntos de conexión de AIP en Office 365 operados por 21Vianet son diferentes de los puntos de conexión necesarios para otros servicios en la nube. Se requiere conectividad de red de clientes a los siguientes puntos de conexión:

    • Descargue las directivas de etiquetas y etiquetas: *.protection.partner.outlook.cn
    • Azure Rights Management Service: *.aadrm.cn

  • El seguimiento de documentos y la revocación por parte de los usuarios no están disponibles actualmente.

Configuración de AIP para clientes en China

Para configurar AIP para clientes en China:

  1. Habilite Rights Management para el inquilino.

  2. Agregue la entidad de servicio de sincronización de Microsoft Information Protection.

  3. Configure el cifrado DNS.

  4. Instale y configure el cliente de etiquetado unificado AIP.

  5. Configure aplicaciones de AIP en Windows.

  6. Instale el analizador de protección de información y administre los trabajos de examen de contenido.

Paso 1: Habilitar Rights Management para el inquilino

Para que el cifrado funcione correctamente, RMS debe estar habilitado para el inquilino.

  1. Compruebe si RMS está habilitado:

    1. Inicie PowerShell como administrador.
    2. Si el módulo AIPService no está instalado, ejecute Install-Module AipService.
    3. Importe el módulo utilizando Import-Module AipService.
    4. Conéctese al servicio utilizando Connect-AipService -environmentname azurechinacloud.
    5. Ejecute (Get-AipServiceConfiguration).FunctionalState y compruebe si el estado es Enabled.

  2. Si el estado funcional es Disabled, ejecute Enable-AipService.

Paso 2: Agregar la entidad de servicio de sincronización de Microsoft Information Protection

La entidad de servicio Servicio de sincronización de Microsoft Information Protection no está disponible en los inquilinos de Azure China de forma predeterminada y es necesaria para Azure Information Protection. Cree esta entidad de servicio manualmente a través del módulo de Azure Az PowerShell.

  1. Si no tiene instalado el módulo de Azure Az, instálelo o use un recurso en el que el módulo Azure Az esté preinstalado, como Azure Cloud Shell. Para más información, consulte Instalación del módulo Azure Az PowerShell.

  2. Conecte el servicio mediante el cmdlet Connect-AzAccount y el nombre del entorno azurechinacloud:

    Connect-azaccount -environmentname azurechinacloud

  3. Cree manualmente la entidad de servicio Servicio de sincronización de Microsoft Information Protection mediante el cmdlet New-AzADServicePrincipal y el identificador de aplicación 870c4f2e-85b6-4d43-bdda-6ed9a579b725 del servicio de sincronización de Microsoft Purview Information Protection:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. Después de agregar la entidad de servicio, agregue los permisos pertinentes necesarios para el servicio.

Paso 3: Configuración del cifrado DNS

Para que el cifrado funcione correctamente, las aplicaciones cliente de Office deben conectarse a la instancia de China del servicio y arrancar desde allí. Para redirigir las aplicaciones cliente a la instancia de servicio correcta, el administrador de inquilinos debe configurar un registro SRV de DNS con información sobre la dirección URL de Azure RMS. Sin el registro SRV de DNS, la aplicación cliente intentará conectarse a la instancia de nube pública de forma predeterminada y producirá un error.

Además, la suposición es que los usuarios iniciarán sesión con un nombre de usuario basado en el dominio propiedad del inquilino (por ejemplo, joe@contoso.cn) y no el nombre de usuario onmschina (por ejemplo, joe@contoso.onmschina.cn). El nombre de dominio del nombre de usuario se usa para el redireccionamiento DNS a la instancia de servicio correcta.

Configuración del cifrado DNS: Windows

  1. Obtenga el identificador de RMS:

    1. Inicie PowerShell como administrador.
    2. Si el módulo AIPService no está instalado, ejecute Install-Module AipService.
    3. Conéctese al servicio utilizando Connect-AipService -environmentname azurechinacloud.
    4. Ejecute (Get-AipServiceConfiguration).RightsManagementServiceId para obtener el identificador de RMS.

  2. Inicie sesión en el proveedor DNS, vaya a la configuración de DNS del dominio y agregue un nuevo registro SRV.

    • Servicio = _rmsredir
    • Protocolo = _http
    • Nombre = _tcp
    • Objetivo = [GUID].rms.aadrm.cn (donde GUID es el Id. de RMS)
    • Prioridad, Peso, Segundos, TTL = valores predeterminados

  3. Asocie el dominio personalizado al inquilino en Azure Portal. Esto agregará una entrada en DNS, que puede tardar varios minutos en comprobarse después de agregar el valor a la configuración de DNS.

  4. Inicie sesión en el Centro de administración de Microsoft 365 con las credenciales de administrador global correspondientes y agregue el dominio (por ejemplo, contoso.cn) para la creación de usuarios. En el proceso de comprobación, es posible que se requieran cambios de DNS adicionales. Una vez finalizada la comprobación, se pueden crear usuarios.

Configuración del cifrado DNS: Mac, iOS, Android

Inicie sesión en el proveedor DNS, vaya a la configuración de DNS del dominio y agregue un nuevo registro SRV.

  • Servicio = _rmsdisco
  • Protocolo = _http
  • Nombre = _tcp
  • Destino = api.aadrm.cn
  • Puerto = 80
  • Prioridad, Peso, Segundos, TTL = valores predeterminados

Paso 4: Instalación y configuración del cliente de etiquetado unificado de AIP

Descargue e instale el cliente de etiquetado unificado de AIP desde el Centro de descarga de Microsoft.

Para más información, vea:

Paso 5: Configurar aplicaciones de AIP en Windows

Las aplicaciones de AIP en Windows necesitan la siguiente clave del registro para que apunten a la nube soberana correcta para Azure China:

  • Nodo del registro = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Nombre = CloudEnvType
  • Valor = 6 (predeterminado = 0)
  • Tipo = REG_DWORD

Importante

Asegúrese de no eliminar la clave del registro después de una desinstalación. Si la clave está vacía, incorrecta o no existente, la funcionalidad se comportará como el valor predeterminado (valor predeterminado = 0 para la nube comercial). Si la clave está vacía o es incorrecta, también se agrega un error de impresión al registro.

Paso 6: Instalación del analizador de protección de información y administración de trabajos de examen de contenido

Instale el escáner Microsoft Purview Information Protection para analizar la red y los contenidos compartidos en busca de datos confidenciales, y aplique etiquetas de clasificación y protección según lo configurado en la directiva de su organización.

Al configurar y administrar los trabajos de análisis de contenido, use el procedimiento siguiente en lugar de la portal de cumplimiento Microsoft Purview que usan las ofertas comerciales.

Para obtener más información, consulte Más información sobre el analizador de protección de información y Administración de los trabajos de examen de contenido con PowerShell únicamente.

Para instalar y configurar el analizador:

  1. Inicie sesión en el equipo con Windows Server que ejecutará el analizador. Use una cuenta que tenga derechos de administrador local y permisos para escribir en la base de datos maestra de SQL Server.

  2. Comience con PowerShell cerrado. Si ha instalado previamente el cliente y el analizador de AIP, asegúrese de que el servicio AIPScanner está detenido.

  3. Abra una sesión de Windows PowerShell con la opción Ejecutar como administrador.

  4. Ejecute el cmdlet Install-AIPScanner, especificando la instancia de SQL Server en la que se va a crear una base de datos para el analizador de Azure Information Protection y un nombre descriptivo para el clúster del analizador.

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>

    Sugerencia

    Puede usar el mismo nombre de clúster en el comando Install-AIPScanner para asociar varios nodos del analizador al mismo clúster. El uso del mismo clúster para varios nodos de escáner permite que varios escáneres funcionen juntos para realizar los exámenes.

  5. Compruebe que el servicio esté ahora instalado mediante Herramientas administrativas>Servicios.

    El servicio instalado se denomina Analizador de Azure Information Protection y está configurado para ejecutarse con la cuenta de servicio del analizador que ha creado.

  6. Obtenga un token de Azure para usarlo con el analizador. Un token de Microsoft Entra permite que el analizador se autentique en el servicio Azure Information Protection, lo que permite que el analizador se ejecute de forma no interactiva.

    1. Abra el portal Azure y cree una aplicación Microsoft Entra para especificar un token de acceso para la autenticación. Para más información, consulte Cómo etiquetar archivos no interactivos para Azure Information Protection.

      Sugerencia

      Al crear y configurar aplicaciones de Microsoft Entra para el comando Set-AIPAuthentication, el panel Solicitar permisos de API muestra la pestaña API que usa mi organización en lugar de la pestaña API de Microsoft. Seleccione las API que usa mi organización para seleccionar Azure Rights Management Services.

    2. Desde el equipo con Windows Server, si la cuenta de servicio del analizador tiene concedido el derecho Iniciar sesión localmente para la instalación, inicie sesión con esta cuenta e inicie una sesión de PowerShell.

      Si no se puede conceder a su cuenta de servicio de analizador el derecho Iniciar sesión localmente para la instalación, utilice el parámetro OnBehalfOf con Set-AIPAuthentication, como se describe en Cómo etiquetar archivos de forma no interactiva para Azure Information Protection.

    3. Ejecute Set-AIPAuthentication y especifique los valores copiados de la aplicación Microsoft Entra:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Por ejemplo:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    El escáner dispone ahora de un token para autenticarse en Microsoft Entra ID. Este token es válido durante un año, dos años o nunca, según la configuración del secreto de cliente de la aplicación web/API en Microsoft Entra ID. Cuando expire el token, debe repetir este procedimiento.

  7. Ejecute el cmdlet Set-AIPScannerConfiguration para establecer el analizador en modo sin conexión. Ejecute:

    Set-AIPScannerConfiguration -OnlineConfiguration Off

  8. Ejecute el cmdlet Set-AIPScannerContentScanJob para crear un trabajo de examen de contenido predeterminado.

    El único parámetro necesario en el cmdlet Set-AIPScannerContentScanJob es Enforce. Sin embargo, es posible que quiera definir otras opciones de configuración para el trabajo de examen de contenido en este momento. Por ejemplo:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    La sintaxis anterior configura las siguientes opciones mientras continúa la configuración:

    • Mantiene la programación de ejecución del analizador en manual
    • Establece los tipos de información que se van a detectar en función de la directiva de etiquetado de confidencialidad.
    • No aplica una directiva de etiquetado de confidencialidad
    • Etiqueta automáticamente los archivos en función del contenido, con la etiqueta predeterminada definida para la directiva de etiquetado de confidencialidad.
    • No permite volver a etiquetar archivos
    • Conserva los detalles del archivo al examinar y etiquetar automáticamente, incluida la fecha modificada, la última modificación y la modificación por valores.
    • Establece el analizador para excluir archivos .msg y .tmp cuando se ejecuta
    • Establece el propietario predeterminado en la cuenta que desea usar al ejecutar el analizador.

  9. Use el cmdlet Add-AIPScannerRepository para definir los repositorios que desea examinar en el trabajo de examen de contenido. Por ejemplo, ejecute:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    Use una de las sintaxis siguientes, en función del tipo de repositorio que vaya a agregar:

    • Para un recurso compartido de red, use \\Server\Folder.
    • Para una biblioteca de SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Para una ruta de acceso local: C:\Folder
    • Para una ruta de acceso UNC: \\Server\Folder

    Nota:

    No se admiten caracteres comodín y no se admiten ubicaciones de WebDav.

    Para modificar el repositorio más adelante, use el cmdlet Set-AIPScannerRepository en su lugar.

Continúe con los siguientes pasos según sea necesario:

En la tabla siguiente se enumeran los cmdlets de PowerShell que son pertinentes para instalar el analizador y administrar los trabajos de examen de contenido:

Cmdlet Descripción
Add-AIPScannerRepository Añade un nuevo repositorio a su trabajo de escaneado de contenidos.
Get-AIPScannerConfiguration Devuelve detalles sobre el clúster.
Get-AIPScannerContentScanJob Obtiene detalles sobre el trabajo de examen de contenido.
Get-AIPScannerRepository Obtiene detalles sobre los repositorios definidos para el trabajo de examen de contenido.
Remove-AIPScannerContentScanJob Elimina el trabajo de examen de contenido.
Remove-AIPScannerRepository Quita un repositorio del trabajo de examen de contenido.
Set-AIPScannerContentScanJob Define la configuración del trabajo de examen de contenido.
Set-AIPScannerRepository Define la configuración de un repositorio existente en el trabajo de examen de contenido.

Para más información, vea: