Protection des données Microsoft Purview pour Bureau 365 géré par 21Vianet

Article
05/11/2024

Cet article décrit les différences entre Protection des données Microsoft Purview prise en charge des Bureau 365 exploitées par 21Vianet et des offres commerciales limitées à l’offre précédemment appelée Azure Protection des données (AIP), ainsi que des instructions de configuration spécifiques pour les clients en Chine, notamment la façon d’installer le scanneur de protection des informations et de gérer les travaux d’analyse de contenu.

Différences entre 21Vianet et les offres commerciales

Bien que notre objectif est de fournir toutes les fonctionnalités et fonctionnalités commerciales aux clients en Chine grâce à notre support Protection des données Microsoft Purview pour Bureau 365 géré par l’offre 21Vianet, il existe certaines fonctionnalités manquantes :

Le chiffrement services AD RMS (Active Directory Rights Management Services) (AD RMS) est pris en charge uniquement dans Microsoft 365 Apps for enterprise (version 11731.10000 ou ultérieure). Office Professionnel Plus ne prend pas en charge AD RMS.
La migration d’AD RMS vers AIP n’est actuellement pas disponible.
Le partage d’emails protégés avec des utilisateurs dans le cloud commercial est pris en charge.
Le partage de documents et de pièces jointes par email avec des utilisateurs dans le cloud commercial n’est actuellement pas disponible. Cela inclut Office 365 gérés par les utilisateurs 21Vianet dans le cloud commercial, non Office 365 gérés par les utilisateurs 21Vianet dans le cloud commercial et les utilisateurs disposant d’une licence RMS for Individuals.
(IRM) avec SharePoint Online (sites et bibliothèques protégés par IRM) n’est pas disponible pour le moment.
L’extension appareil mobile pour AD RMS n’est pas disponible pour le moment.
La visionneuse mobile n’est pas prise en charge par Azure China 21Vianet.
La zone scanneur du portail de conformité n’est pas disponible pour les clients en Chine. Utilisez des commandes PowerShell au lieu d’effectuer des actions dans le portail, telles que la gestion et l’exécution de vos travaux d’analyse de contenu.
Les points de terminaison réseau du client Protection des données Microsoft Purview dans l’environnement 21Vianet sont différents des points de terminaison requis pour d’autres services cloud. La connectivité réseau entre les clients et les points de terminaison suivants est requise :
- Téléchargez les stratégies d’étiquette et d’étiquette : *.protection.partner.outlook.cn
- Azure Rights Management Service : *.aadrm.cn
Suivi des documents et la révocation par les utilisateurs ne sont actuellement pas disponibles.

Configuration pour les clients dans 21Vianet

Pour configurer Protection des données Microsoft Purview prise en charge de Bureau 365 géré par 21Vianet :

Activez Rights Management pour le client.
Ajoutez le principal de service de synchronisation Microsoft Information Protection.
Configurer le chiffrement DNS.
Installez et configurez le client Protection des données Microsoft Purview.
Configurez les paramètres Windows.
Installez le scanneur de protection des données et gérez les travaux de numérisation de contenu.

Étape 1 : activer Rights Management pour le client

Pour que le chiffrement fonctionne correctement, le service RMS (Rights Management Service) doit être activé pour le locataire.

Vérifiez si RMS est activé :
1. Lancez PowerShell en tant qu’administrateur.
2. Si le module AIPService n’est pas installé, exécutez Install-Module AipService.
3. Importation du module à l’aide de Import-Module AipService.
4. Connectez-vous au service en utilisant Connect-AipService -environmentname azurechinacloud.
5. Exécutez (Get-AipServiceConfiguration).FunctionalState et vérifiez si l’état est Enabled.
Si l’état fonctionnel est Disabled, exécutez Enable-AipService.

Étape 2 : ajouter le principal de service de synchronisation Microsoft Information Protection

Le principal de service Microsoft Information Protection Sync Service n'est pas disponible par défaut dans les clients Azure Chine, et est requis pour Azure Information Protection. Créez ce principal de service manuellement via le module Azure Az PowerShell.

Si le module Azure Az n’est pas installé, installez-le ou utilisez une ressource où le module Azure Az est préinstallé, tel qu’Azure Cloud Shell. Pour plus d’informations, consultez Installer le module Azure Az PowerShell.
Connecter au service à l’aide de l’applet de commande Connect-AzAccount et du nom de l’environnement azurechinacloud :
```
Connect-azaccount -environmentname azurechinacloud
```
Créez manuellement le principal de service de synchronisation Microsoft Information Protection à l’aide de l’applet de commande New-AzADServicePrincipal et de l’ID d’application 870c4f2e-85b6-4d43-bdda-6ed9a579b725 du service de synchronisation Protection des données Microsoft Purview :
```
New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
```
Après avoir ajouté le principal de service, ajoutez les autorisations appropriées requises au service.

Étape 3 : configurer le chiffrement DNS

Pour que le chiffrement fonctionne correctement, Office applications clientes doivent se connecter à l’instance chinoise du service et démarrer à partir de là. Pour rediriger les applications clientes vers l’instance de service appropriée, l’administrateur du client doit configurer un enregistrement SRV DNS avec des informations sur l’URL Azure RMS. Sans l’enregistrement SRV DNS, l’application cliente tente de se connecter à l’instance de cloud public par défaut et échoue.

En outre, l’hypothèse est que les utilisateurs se connectent avec un nom d’utilisateur basé sur le domaine appartenant au client (par exemple), joe@contoso.cnet non le onmschina nom d’utilisateur (par exemple, joe@contoso.onmschina.cn). Le nom de domaine du nom d’utilisateur est utilisé pour la redirection DNS vers l’instance de service appropriée.

Configurer le chiffrement DNS - Windows

Obtenez l’ID RMS :
1. Lancez PowerShell en tant qu’administrateur.
2. Si le module AIPService n’est pas installé, exécutez Install-Module AipService.
3. Connectez-vous au service en utilisant Connect-AipService -environmentname azurechinacloud.
4. Exécutez (Get-AipServiceConfiguration).RightsManagementServiceId pour obtenir l’ID RMS.
Connectez-vous à votre fournisseur DNS, accédez aux paramètres DNS du domaine, puis ajoutez un nouvel enregistrement SRV.
- Service = _rmsredir
- Protocole = _http
- Nom = _tcp
- Cible = [GUID].rms.aadrm.cn (où GUID est l’ID RMS)
- Priorité, Poids, Secondes, TTL = valeurs par défaut
Associez le domaine personnalisé au client dans le Portail Azure. Cela ajoute une entrée dans DNS, ce qui peut prendre plusieurs minutes pour être vérifiée après avoir ajouté la valeur aux paramètres DNS.
Connectez-vous au Centre d'administration Microsoft 365 avec les informations d’identification d’administrateur général correspondantes et ajoutez le domaine (par exemplecontoso.cn) pour la création de l’utilisateur. Dans le processus de vérification, des modifications DNS supplémentaires peuvent être requises. Une fois la vérification effectuée, les utilisateurs peuvent être créés.

Configurer le chiffrement DNS - Mac, iOS, Android

Connectez-vous à votre fournisseur DNS, accédez aux paramètres DNS du domaine, puis ajoutez un nouvel enregistrement SRV.

Service = _rmsdisco
Protocole = _http
Nom = _tcp
Cible = api.aadrm.cn
Port = 80
Priorité, Poids, Secondes, TTL = valeurs par défaut

Étape 4 : Installer et configurer le client d’étiquetage

Téléchargez et installez le client Protection des données Microsoft Purview à partir du Centre de téléchargement Microsoft.

Pour plus d’informations, consultez l’article suivant :

Étape 5 : Configurer les paramètres Windows

Windows a besoin de la clé de Registre suivante pour que l’authentification pointe vers le cloud souverain approprié pour Azure Chine :

Nœud de Registre = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nom = CloudEnvType
Valeur = 6 (par défaut = 0)
Type = REG_DWORD

Important

Veillez à ne pas supprimer la clé de Registre après une désinstallation. Si la clé est vide, incorrecte ou inexistante, la fonctionnalité se comporte comme valeur par défaut (valeur par défaut = 0 pour le cloud commercial). Si la clé est vide ou incorrecte, une erreur d’impression est également ajoutée au journal.

Étape 6 : installer le scanneur de protection des données et gérer les travaux d’analyse de contenu

Installez le scanneur Protection des données Microsoft Purview pour analyser votre réseau et vos partages de contenu à la recherche de données sensibles, et appliquez les étiquettes de classification et de protection telles que configurées dans la politique de votre organisation.

Lors de la configuration et de la gestion de vos travaux d’analyse de contenu, utilisez la procédure suivante au lieu du portail de conformité Microsoft Purview utilisée par les offres commerciales.

Pour plus d’informations, consultez En savoir plus sur le scanneur de protection des données et gérer vos travaux de numérisation de contenu à l’aide de PowerShell uniquement.

Pour installer et configurer votre scanneur :

Connectez-vous à l’ordinateur du serveur Windows qui exécutera le scanneur. Utilisez un compte disposant des droits d’administrateur locaux et qui est autorisé à écrire dans la base de données principale SQL Server.
Commencez par fermer PowerShell. Si vous avez déjà installé le scanneur de protection des informations, vérifiez que le service Protection des données Microsoft Purview Scanneur est arrêté.
Démarrez une session Windows PowerShell avec l’option Exécuter en tant qu’administrateur.
Exécutez l’applet de commande Install-Scanner, en spécifiant votre instance SQL Server sur laquelle créer une base de données pour le scanneur Protection des données Microsoft Purview et un nom explicite pour votre cluster de scanneur.
```
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
```
Conseil

Vous pouvez utiliser le même nom de cluster dans la commande Install-Scanner pour associer plusieurs nœuds de scanneur au même cluster. L’utilisation du même cluster pour plusieurs nœuds de scanneur permet à plusieurs scanneurs de travailler ensemble pour effectuer vos analyses.
Vérifiez que le service est désormais installé en utilisant Outils d’administration>Services.

Le service installé est nommé Protection des données Microsoft Purview Scanneur et est configuré pour s’exécuter à l’aide du compte de service scanneur que vous avez créé.
Obtenez un jeton Azure à utiliser avec votre scanneur. Un jeton Microsoft Entra permet au scanneur de s’authentifier auprès du service Azure Information Protection, ce qui permet au scanneur de s’exécuter de manière non interactive.
1. Dans le portail Azure, créez une application Microsoft Entra afin de spécifier un jeton d’accès pour l’authentification. Pour plus d’informations, consultez Comment étiqueter des fichiers de manière non interactive pour Azure Information Protection.
  
  Conseil
  
  Lors de la création et de la configuration d’applications Microsoft Entra pour la commande Set-Authentication, le volet Demander des autorisations d’API affiche les API que mon organisation utilise à la place de l’onglet API Microsoft. Sélectionnez les API que mon organisation utilise pour sélectionner azure Rights Management Services.
2. Depuis l’ordinateur Windows Server, si le compte de service de votre scanneur a obtenu le droit d’Ouvrir une session en local pour l’installation, connectez-vous avec ce compte et démarrez une session PowerShell.
  
  Si votre compte de service de scanneur ne peut pas être autorisé à se connecter localement pour l’installation, utilisez le paramètre OnBehalfOf avec Set-Authentication, comme décrit dans How to label files non interactively for Azure Protection des données.
3. Exécutez Set-Authentication, en spécifiant les valeurs copiées à partir de votre application Microsoft Entra :
```
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
```
Par exemple :
```
$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
```
Le scanneur dispose maintenant d'un jeton pour s'authentifier auprès de Microsoft Entra ID. Ce jeton est valide pendant un an, deux ans ou jamais, en fonction de votre configuration de la clé secrète client /API de l’application web dans Microsoft Entra ID. Vous devez répéter cette procédure lorsque le jeton arrive à expiration.
Exécutez l’applet de commande Set-ScannerConfiguration pour définir le scanneur sur fonctionner en mode hors connexion. Run :
```
Set-ScannerConfiguration -OnlineConfiguration Off
```
Exécutez l’applet de commande Set-ScannerContentScanJob pour créer un travail d’analyse de contenu par défaut.

Le seul paramètre obligatoire dans l’applet de commande Set-ScannerContentScanJob est Enforce. Toutefois, vous pouvez définir d’autres paramètres pour votre tâche d’analyse de contenu pour l’instant. Par exemple :
```
Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
```
La syntaxe ci-dessus configure les paramètres suivants pendant que vous poursuivez la configuration :
- Maintient la planification de l’exécution du scanneur sur Manuel
- Définit les types d’informations à découvrir en fonction de la stratégie d’étiquetage de confidentialité
- N’applique pas de stratégie d’étiquetage de confidentialité
- Étiqueter automatiquement les fichiers en fonction du contenu, à l’aide de l’étiquette par défaut définie pour la stratégie d’étiquetage de confidentialité
- N’autorise pas le réétiquetage des fichiers
- Conserve les détails du fichier lors de l’analyse et de l’étiquetage automatique, y compris la Date de modification, la Dernière modification et la Modifié par les valeurs
- Définit le scanneur pour exclure les fichiers .msg et .tmp lors de l’exécution
- Définit le propriétaire par défaut sur le compte que vous souhaitez utiliser lors de l’exécution du scanneur
Utilisez l’applet de commande Add-ScannerRepository pour définir les référentiels que vous souhaitez analyser dans votre travail d’analyse de contenu. Par exemple, exécutez :
```
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
```
Utilisez l’une des syntaxes suivantes, en fonction du type de référentiel que vous ajoutez :
- Pour un partage réseau, utilisez \\Server\Folder.
- Pour une bibliothèque SharePoint, utilisez http://sharepoint.contoso.com/Shared%20Documents/Folder.
- Pour un chemin d’accès local : C:\Folder
- Pour un chemin UNC : \\Server\Folder
Remarque

Les caractères génériques ne sont pas pris en charge et les emplacements WebDav ne sont pas pris en charge.

Pour modifier le référentiel ultérieurement, utilisez plutôt l’applet de commande Set-ScannerRepository .

Passez aux étapes suivantes, en fonction des besoins :

Le tableau suivant répertorie les applets de commande PowerShell pertinentes pour l’installation du scanneur et la gestion de vos travaux d’analyse de contenu :

Applet de commande	Description
Add-ScannerRepository	Ajoute un nouveau référentiel à votre tâche de numérisation de contenu.
Get-ScannerConfiguration	Renvoie des détails sur votre cluster.
Get-ScannerContentScan	Obtient des détails sur votre travail de numérisation de contenu.
Get-ScannerRepository	Obtient des détails sur les référentiels définis pour votre travail de numérisation de contenu.
Remove-ScannerContentScan	Supprime votre travail de numérisation de contenu.
Remove-ScannerRepository	Supprime un référentiel de votre travail de numérisation de contenu.
Set-ScannerContentScan	Définit les paramètres de votre travail de numérisation de contenu.
Set-ScannerRepository	Définit les paramètres d’un référentiel existant dans votre travail de numérisation de contenu.