Prise en charge d’Azure Information Protection pour Office 365 géré par 21Vianet

Cet article décrit les différences entre la prise en charge d’Azure Information Protection (AIP) pour Office 365 géré par 21Vianet et les offres commerciales, ainsi que des instructions spécifiques pour la configuration d’AIP pour les clients en Chine, notamment la façon d’installer le scanneur de protection des données et de gérer les travaux de numérisation de contenu.

Différences entre AIP pour les Office 365 exploitées par 21Vianet et les offres commerciales

Bien que notre objectif est de fournir toutes les fonctionnalités et capacités commerciales aux clients en Chine avec notre AIP pour Office 365 géré par l’offre 21Vianet, il existe certaines fonctionnalités manquantes que nous aimerions mettre en évidence.

Voici une liste d’écarts entre AIP pour Office 365 exploité par 21Vianet et nos offres commerciales :

• Le chiffrement services AD RMS (Active Directory Rights Management Services) (AD RMS) est pris en charge uniquement dans Microsoft 365 Apps for enterprise (version 11731.10000 ou ultérieure). Office Professionnel Plus ne prend pas en charge AD RMS.

• La migration d’AD RMS vers AIP n’est actuellement pas disponible.

• Le partage d’emails protégés avec des utilisateurs dans le cloud commercial est pris en charge.

• Le partage de documents et de pièces jointes par email avec des utilisateurs dans le cloud commercial n’est actuellement pas disponible. Cela inclut Office 365 gérés par les utilisateurs 21Vianet dans le cloud commercial, non Office 365 gérés par les utilisateurs 21Vianet dans le cloud commercial et les utilisateurs disposant d’une licence RMS for Individuals.

• (IRM) avec SharePoint Online (sites et bibliothèques protégés par IRM) n’est pas disponible pour le moment.

• L’extension appareil mobile pour AD RMS n’est pas disponible pour le moment.

• La visionneuse mobile n’est pas prise en charge par Azure China 21Vianet.

• La zone scanneur du portail de conformité n’est pas disponible pour les clients en Chine. Utilisez des commandes PowerShell au lieu d’effectuer des actions dans le portail, telles que la gestion et l’exécution de vos travaux d’analyse de contenu.

• Les points de terminaison AIP dans Office 365 gérés par 21Vianet sont différents des points de terminaison requis pour d’autres services cloud. La connectivité réseau entre les clients et les points de terminaison suivants est requise :

  • Téléchargez les stratégies d’étiquette et d’étiquette : *.protection.partner.outlook.cn
  • Azure Rights Management Service : *.aadrm.cn

• Suivi des documents et la révocation par les utilisateurs ne sont actuellement pas disponibles.

Configurer AIP pour les clients en Chine

Pour configurer AIP pour les clients en Chine :

1. Activez Rights Management pour le client.

2. Ajoutez le principal de service de synchronisation Microsoft Information Protection.

3. Configurer le chiffrement DNS.

4. Configurer et installer le client d'étiquetage unifié AIP.

5. Configurer des applications AIP sur Windows.

6. Installez le scanneur de protection des données et gérez les travaux de numérisation de contenu.

Étape 1 : activer Rights Management pour le client

Pour que le chiffrement fonctionne correctement, RMS doit être activé pour le client.

1. Vérifiez si RMS est activé :

   1. Lancez PowerShell en tant qu’administrateur.
   2. Si le module AIPService n’est pas installé, exécutez Install-Module AipService.
   3. Importation du module à l’aide de Import-Module AipService.
   4. Connectez-vous au service en utilisant Connect-AipService -environmentname azurechinacloud.
   5. Exécutez (Get-AipServiceConfiguration).FunctionalState et vérifiez si l’état est Enabled.

2. Si l’état fonctionnel est Disabled, exécutez Enable-AipService.

Étape 2 : ajouter le principal de service de synchronisation Microsoft Information Protection

Le principal de service Microsoft Information Protection Sync Service n'est pas disponible par défaut dans les clients Azure Chine, et est requis pour Azure Information Protection. Créez ce principal de service manuellement via le module Azure Az PowerShell.

1. Si le module Azure Az n’est pas installé, installez-le ou utilisez une ressource où le module Azure Az est préinstallé, tel qu’Azure Cloud Shell. Pour plus d’informations, consultez Installer le module Azure Az PowerShell.

2. Connecter au service à l’aide de l’applet de commande Connect-AzAccount et du nom de l’environnement azurechinacloud :

   Connect-azaccount -environmentname azurechinacloud
   

3. Créez manuellement le principal de service de synchronisation Microsoft Information Protection à l’aide de l’applet de commande New-AzADServicePrincipal et de l’ID d’application 870c4f2e-85b6-4d43-bdda-6ed9a579b725 du service de synchronisation Protection des données Microsoft Purview :

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. Après avoir ajouté le principal de service, ajoutez les autorisations appropriées requises au service.

Étape 3 : configurer le chiffrement DNS

Pour que le chiffrement fonctionne correctement, Office applications clientes doivent se connecter à l’instance chinoise du service et démarrer à partir de là. Pour rediriger les applications clientes vers l’instance de service appropriée, l’administrateur du client doit configurer un enregistrement SRV DNS avec des informations sur l’URL Azure RMS. Sans l’enregistrement SRV DNS, l’application cliente tente de se connecter à l’instance de cloud public par défaut et échoue.

En outre, l’hypothèse est que les utilisateurs se connectent avec un nom d’utilisateur basé sur le domaine appartenant au client (par exemple), joe@contoso.cnet non le onmschina nom d’utilisateur (par exemple, joe@contoso.onmschina.cn). Le nom de domaine du nom d’utilisateur est utilisé pour la redirection DNS vers l’instance de service appropriée.

Configurer le chiffrement DNS - Windows

1. Obtenez l’ID RMS :

   1. Lancez PowerShell en tant qu’administrateur.
   2. Si le module AIPService n’est pas installé, exécutez Install-Module AipService.
   3. Connectez-vous au service en utilisant Connect-AipService -environmentname azurechinacloud.
   4. Exécutez (Get-AipServiceConfiguration).RightsManagementServiceId pour obtenir l’ID RMS.

2. Connectez-vous à votre fournisseur DNS, accédez aux paramètres DNS du domaine, puis ajoutez un nouvel enregistrement SRV.

   • Service = _rmsredir
   • Protocole = _http
   • Nom = _tcp
   • Cible = [GUID].rms.aadrm.cn (où GUID est l’ID RMS)
   • Priorité, Poids, Secondes, TTL = valeurs par défaut

3. Associez le domaine personnalisé au client dans le Portail Azure. Cela ajoute une entrée dans DNS, ce qui peut prendre plusieurs minutes pour être vérifiée après avoir ajouté la valeur aux paramètres DNS.

4. Connectez-vous au Centre d'administration Microsoft 365 avec les informations d’identification d’administrateur général correspondantes et ajoutez le domaine (par exemplecontoso.cn) pour la création de l’utilisateur. Dans le processus de vérification, des modifications DNS supplémentaires peuvent être requises. Une fois la vérification effectuée, les utilisateurs peuvent être créés.

Configurer le chiffrement DNS - Mac, iOS, Android

Connectez-vous à votre fournisseur DNS, accédez aux paramètres DNS du domaine, puis ajoutez un nouvel enregistrement SRV.

• Service = _rmsdisco
• Protocole = _http
• Nom = _tcp
• Cible = api.aadrm.cn
• Port = 80
• Priorité, Poids, Secondes, TTL = valeurs par défaut

Étape 4 : installer et configurer le client d’étiquetage unifié AIP

Téléchargez et installez le client d’étiquetage unifié AIP à partir du Centre de téléchargement Microsoft.

Pour plus d’informations, consultez l’article suivant :

• Documentation AIP
• Historique des versions AIP et stratégie de prise en charge
• Configuration requise pour AIP
• Démarrage rapide AIP : Déployer le client AIP
• Guide de l’administrateur AIP
• Guide de l’utilisateur AIP
• En savoir plus sur les étiquettes de sensibilité

Étape 5 : configurer des applications AIP sur Windows

Les applications AIP sur Windows ont besoin de la clé de Registre suivante pour les pointer vers le cloud souverain approprié pour Azure Chine :

• Nœud de Registre = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Nom = CloudEnvType
• Valeur = 6 (par défaut = 0)
• Type = REG_DWORD

Important

Veillez à ne pas supprimer la clé de Registre après une désinstallation. Si la clé est vide, incorrecte ou inexistante, la fonctionnalité se comporte comme valeur par défaut (valeur par défaut = 0 pour le cloud commercial). Si la clé est vide ou incorrecte, une erreur d’impression est également ajoutée au journal.

Étape 6 : installer le scanneur de protection des données et gérer les travaux d’analyse de contenu

Installez le scanneur Protection des données Microsoft Purview pour analyser votre réseau et vos partages de contenu à la recherche de données sensibles, et appliquez les étiquettes de classification et de protection telles que configurées dans la politique de votre organisation.

Lors de la configuration et de la gestion de vos travaux d’analyse de contenu, utilisez la procédure suivante au lieu du portail de conformité Microsoft Purview utilisée par les offres commerciales.

Pour plus d’informations, consultez En savoir plus sur le scanneur de protection des données et gérer vos travaux de numérisation de contenu à l’aide de PowerShell uniquement.

Pour installer et configurer votre scanneur :

1. Connectez-vous à l’ordinateur du serveur Windows qui exécutera le scanneur. Utilisez un compte disposant des droits d’administrateur locaux et qui est autorisé à écrire dans la base de données principale SQL Server.

2. Commencez par fermer PowerShell. Si vous avez déjà installé le client et le scanneur AIP, assurez-vous que le service AIPScanner est arrêté.

3. Démarrez une session Windows PowerShell avec l’option Exécuter en tant qu’administrateur.

4. Exécutez l’applet de commande Install-AIPScanner, en spécifiant votre instance SQL Server sur laquelle créer une base de données pour le scanneur Azure Information Protection et un nom significatif pour votre cluster de scanneurs.

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Conseil

   Vous pouvez utiliser le même nom de cluster dans la commande Install-AIPScanner pour associer plusieurs nœuds de scanneur au même cluster. L’utilisation du même cluster pour plusieurs nœuds de scanneur permet à plusieurs scanneurs de travailler ensemble pour effectuer vos analyses.

5. Vérifiez que le service est désormais installé en utilisant Outils d’administration>Services.

   Le service installé est nommé Scanneur Azure Information Protection et il est configuré pour s’exécuter en utilisant le compte de service du scanneur que vous avez créé.

6. Obtenez un jeton Azure à utiliser avec votre scanneur. Un jeton Microsoft Entra permet au scanneur de s’authentifier auprès du service Azure Information Protection, ce qui permet au scanneur de s’exécuter de manière non interactive.

   1. Dans le portail Azure, créez une application Microsoft Entra afin de spécifier un jeton d’accès pour l’authentification. Pour plus d’informations, consultez Comment étiqueter des fichiers de manière non interactive pour Azure Information Protection.

      Conseil

      Lors de la création et de la configuration d’applications Microsoft Entra pour la commande Set-AIPAuthentication, le volet Demander des autorisations d’API affiche les API que mon organisation utilise à la place de l’onglet API Microsoft. Sélectionnez les API que mon organisation utilise pour sélectionner les services Azure Rights Management.

   2. Depuis l’ordinateur Windows Server, si le compte de service de votre scanneur a obtenu le droit d’Ouvrir une session en local pour l’installation, connectez-vous avec ce compte et démarrez une session PowerShell.

      Si votre compte de service scanneur ne peut pas être accordé localement au journal pour l’installation, utilisez le paramètre OnBehalfOf avec Set-AIPAuthentication, comme décrit dans Comment étiqueter des fichiers de manière non interactive pour Azure Information Protection.

   3. Exécutez Set-AIPAuthentication, en spécifiant les valeurs copiées à partir de votre application Microsoft Entra :

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Par exemple :

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Le scanneur dispose maintenant d'un jeton pour s'authentifier auprès de Microsoft Entra ID. Ce jeton est valide pendant un an, deux ans ou jamais, en fonction de votre configuration de la clé secrète client /API de l’application web dans Microsoft Entra ID. Vous devez répéter cette procédure lorsque le jeton arrive à expiration.

7. Exécutez l’applet de commande Set-AIPScannerConfiguration pour que le scanneur fonctionne en mode hors ligne. Exécuter :

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Exécutez l’applet de commande Set-AIPScannerContentScanJob pour créer une tâche d’analyse de contenu par défaut.

   Le seul paramètre requis dans l’applet de commande Set-AIPScannerContentScanJob est Appliquer. Toutefois, vous pouvez définir d’autres paramètres pour votre tâche d’analyse de contenu pour l’instant. Par exemple :

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   La syntaxe ci-dessus configure les paramètres suivants pendant que vous poursuivez la configuration :

   • Maintient la planification de l’exécution du scanneur sur Manuel
   • Définit les types d’informations à découvrir en fonction de la stratégie d’étiquetage de confidentialité
   • N’applique pas de stratégie d’étiquetage de confidentialité
   • Étiqueter automatiquement les fichiers en fonction du contenu, à l’aide de l’étiquette par défaut définie pour la stratégie d’étiquetage de confidentialité
   • N’autorise pas le réétiquetage des fichiers
   • Conserve les détails du fichier lors de l’analyse et de l’étiquetage automatique, y compris la Date de modification, la Dernière modification et la Modifié par les valeurs
   • Définit le scanneur pour exclure les fichiers .msg et .tmp lors de l’exécution
   • Définit le propriétaire par défaut sur le compte que vous souhaitez utiliser lors de l’exécution du scanneur

9. Utilisez l’applet de commande Add-AIPScannerRepository pour définir les référentiels que vous souhaitez analyser dans votre tâche d’analyse de contenu. Par exemple, exécutez :

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Utilisez l’une des syntaxes suivantes, en fonction du type de référentiel que vous ajoutez :

   • Pour un partage réseau, utilisez \\Server\Folder.
   • Pour une bibliothèque SharePoint, utilisez http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Pour un chemin d’accès local : C:\Folder
   • Pour un chemin UNC : \\Server\Folder

   Remarque

   Les caractères génériques ne sont pas pris en charge et les emplacements WebDav ne sont pas pris en charge.

   Pour modifier le référentiel ultérieurement, utilisez plutôt l’applet de commande Set-AIPScannerRepository.

Passez aux étapes suivantes, en fonction des besoins :

• Exécutez un cycle de détection et affichez les rapports du scanneur
• Utilisez PowerShell pour configurer le scanneur pour appliquer la classification et la protection
• Utilisez PowerShell pour configurer une stratégie DLP avec le scanneur

Le tableau suivant répertorie les applets de commande PowerShell pertinentes pour l’installation du scanneur et la gestion de vos travaux d’analyse de contenu :

Applet de commande	Description
Add-AIPScannerRepository	Ajoute un nouveau référentiel à votre tâche de numérisation de contenu.
Get-AIPScannerConfiguration	Renvoie des détails sur votre cluster.
Get-AIPScannerContentScanJob	Obtient des détails sur votre travail de numérisation de contenu.
Get-AIPScannerRepository	Obtient des détails sur les référentiels définis pour votre travail de numérisation de contenu.
Remove-AIPScannerContentScanJob	Supprime votre travail de numérisation de contenu.
Remove-AIPScannerRepository	Supprime un référentiel de votre travail de numérisation de contenu.
Set-AIPScannerContentScanJob	Définit les paramètres de votre travail de numérisation de contenu.
Set-AIPScannerRepository	Définit les paramètres d’un référentiel existant dans votre travail de numérisation de contenu.

Pour plus d’informations, consultez l’article suivant :

• Découvrir l’analyseur de protection des données
• Configuration et installation de l’analyseur de protection des données
• Gérer vos travaux de numérisation de contenu à l’aide de PowerShell uniquement