Az Azure Information Protection Premium Government szolgáltatás leírása
Feljegyzés
Az egységes és egyszerűsített ügyfélélmény biztosítása érdekében az Azure Portal klasszikus Azure Information Protection-ügyfél- és címkekezelése 2021. szeptember 31-étől elavult a GCC, a GCC-H és a DoD-ügyfelek számára.
A klasszikus ügyfelet hivatalosan kivonják, és 2022. március 31-én leáll.
Minden jelenlegi klasszikus Azure Information Protection-ügyfélügyfélnek át kell költöznie az Microsoft Purview információvédelem egységes címkézési platformra, és frissítenie kell az egységes címkézési ügyfélre. További információ a migrálási blogunkban.
A szolgáltatás leírása
Az Azure Information Protection egységes címkézése a GCC, a GCC High és a DoD-ügyfelek számára érhető el.
Az Azure Information Protection Premium Government szolgáltatás leírása úgy lett kialakítva, hogy áttekintést nyújtsunk az ajánlatunkról a GCC High és DoD környezetekben, és az Azure Information Protection Premium kereskedelmi ajánlatokkal összehasonlítva tartalmazza a funkciók variációit.
Azure Information Protection Premium Government és külső szolgáltatások
Egyes Prémium szintű Azure Information Protection-szolgáltatások lehetővé teszik a külső alkalmazások és szolgáltatások zökkenőmentes használatát.
Ezek a külső alkalmazások és szolgáltatások magukban foglalhatják a szervezet ügyféltartalmainak tárolását, továbbítását és feldolgozását olyan külső rendszereken, amelyek nem tartoznak az Azure Information Protection Premium infrastruktúrájához, ezért nem tartoznak a megfelelőségi és adatvédelmi kötelezettségeink hatálya alá.
Győződjön meg arról, hogy áttekinti a harmadik felek által megadott adatvédelmi és megfelelőségi nyilatkozatokat, amikor felméri ezeknek a szolgáltatásoknak a szervezet számára való megfelelő használatát.
Parity with Azure Information Protection premium commercial offerings
Az Azure Information Protection Premium GCC High/DoD és a kereskedelmi ajánlat közötti ismert meglévő hiányosságokról az Usa kormányzati ügyfeleinek az Azure Information Protection felhőszolgáltatás-elérhetőségéről szóló cikkben tájékozódhat.
Az Azure Information Protection konfigurálása GCC High- és DoD-ügyfelek számára
Az alábbi konfigurációs részletek relevánsak a GCC High és DoD-ügyfelek összes Azure Information Protection-megoldása esetében, beleértve az egységes címkézési megoldásokat is.
- Rights Management engedélyezése a bérlő számára
- DNS-konfiguráció titkosításhoz (Windows)
- DNS-konfiguráció titkosításhoz (Mac, iOS, Android)
- Címkék migrálása
- Az AIP-alkalmazások konfigurálása
Fontos
A 2020. júliusi frissítésnek megfelelően az Azure Information Protection egységes címkézési megoldásának összes új GCC High-ügyfele csak az Általános menü és a Scanner menüfunkcióit használhatja.
Rights Management engedélyezése a bérlő számára
Ahhoz, hogy a titkosítás megfelelően működjön, engedélyezni kell a Rights Management szolgáltatást a bérlő számára.
- Ellenőrizze, hogy a Rights Management szolgáltatás engedélyezve van-e
- A PowerShell indítása Rendszergazda istratorként
- Futtassa
Install-Module aadrm
, ha az AADRM-modul nincs telepítve - Csatlakozás a szolgáltatáshoz
Connect-aadrmservice -environmentname azureusgovernment
- Futtassa
(Get-AadrmConfiguration).FunctionalState
és ellenőrizze, hogy az állapotEnabled
- Ha a működési állapot az, futtassa a
Disabled
Enable-Aadrm
DNS-konfiguráció titkosításhoz (Windows)
Ahhoz, hogy a titkosítás megfelelően működjön, az Office-ügyfélalkalmazásoknak csatlakozniuk kell a szolgáltatás GCC- és GCC High/DoD-példányához, és onnan kell rendszerindítást végezni. Ha az ügyfélalkalmazásokat a megfelelő szolgáltatáspéldányra szeretné átirányítani, a bérlői rendszergazdának konfigurálnia kell egy DNS SRV rekordot az Azure RMS URL-címével kapcsolatos információkkal. A DNS SRV rekord nélkül az ügyfélalkalmazás alapértelmezés szerint megpróbál csatlakozni a nyilvános felhőpéldányhoz, és sikertelen lesz.
A feltételezés az is, hogy a felhasználók a bérlő tulajdonában lévő tartomány (például: joe@contoso.us) alapján jelentkeznek be a felhasználónévvel, és nem az onmicrosoft felhasználónévvel (például: joe@contoso.onmicrosoft.us). A rendszer a felhasználónév tartománynevét használja a DNS-átirányításhoz a megfelelő szolgáltatáspéldányra.
- A Rights Management szolgáltatás azonosítójának lekérése
- A PowerShell indítása Rendszergazda istratorként
- Ha az AADRM-modul nincs telepítve, futtassa a
Install-Module aadrm
- Csatlakozás a szolgáltatáshoz
Connect-aadrmservice -environmentname azureusgovernment
- Futtatás
(Get-aadrmconfiguration).RightsManagementServiceId
a Rights Management szolgáltatás azonosítójának lekéréséhez
- Jelentkezzen be a DNS-szolgáltatóhoz, és keresse meg a tartomány DNS-beállításait egy új SRV rekord hozzáadásához
- Szolgáltatás =
_rmsredir
- Protokoll =
_http
- Név =
_tcp
- Target =
[GUID].rms.aadrm.us
(ahol a GUID a Rights Management Szolgáltatás azonosítója) - Port =
80
- Prioritás, Súly, Másodperc, TTL = alapértelmezett értékek
- Szolgáltatás =
- Az egyéni tartomány társítása a bérlővel az Azure Portalon. Az egyéni tartomány társítása hozzáad egy bejegyzést a DNS-hez, amely az érték hozzáadása után eltarthat néhány percig.
- Jelentkezzen be az Office Rendszergazda Centerbe a megfelelő globális rendszergazdai hitelesítő adatokkal, és adja hozzá a tartományt (például contoso.us) a felhasználók létrehozásához. Az ellenőrzési folyamat során további DNS-módosításokra lehet szükség. Az ellenőrzés után létre lehet hozni felhasználókat.
DNS-konfiguráció titkosításhoz (Mac, iOS, Android)
- Jelentkezzen be a DNS-szolgáltatóhoz, és keresse meg a tartomány DNS-beállításait egy új SRV rekord hozzáadásához
- Szolgáltatás =
_rmsdisco
- Protokoll =
_http
- Név =
_tcp
- Cél =
api.aadrm.us
- Port =
80
- Prioritás, Súly, Másodperc, TTL = alapértelmezett értékek
- Szolgáltatás =
Címkék migrálása
A GCC High- és DoD-ügyfeleknek a PowerShell használatával kell migrálniuk az összes meglévő címkét. A hagyományos AIP-migrálási módszerek nem alkalmazhatók a GCC High- és DoD-ügyfelekre.
Az Új címke parancsmaggal migrálhatja a meglévő bizalmassági címkéket. A migrálás megkezdése előtt mindenképpen kövesse a parancsmag csatlakoztatására és futtatására vonatkozó utasításokat a Security & Compliance Center használatával.
Migrálási példa, ha egy meglévő bizalmassági címke titkosítással rendelkezik:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
Az AIP-alkalmazások konfigurálása
Az Azure Information Protection-ügyfél használatakor az alábbi beállításkulcsok egyikét kell konfigurálnia, hogy az AIP-alkalmazásokat a Windowson a megfelelő szuverén felhőre irányíthassa. Ügyeljen arra, hogy a megfelelő értékeket használja a beállításhoz.
- AIP-alkalmazások konfigurálása az egyesített címkézési ügyfélhez
- AIP-alkalmazások konfigurálása a klasszikus ügyfélhez
AIP-alkalmazások konfigurálása az egyesített címkézési ügyfélhez
Releváns: Csak az AIP egyesített címkézési ügyfele
Beállításjegyzék-csomópont | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
---|---|
Név | CloudEnvType |
Érték | 0 = Kereskedelmi (alapértelmezett) 1 = GCC 2 = GCC High 3 = DoD |
Típus | REG_DWORD |
Feljegyzés
- Ha ez a beállításkulcs üres, helytelen vagy hiányzik, a viselkedés visszaáll az alapértelmezettre (0 = Kereskedelmi).
- Ha a kulcs üres vagy helytelen, a rendszer nyomtatási hibát is hozzáad a naplóhoz.
- Az eltávolítás után győződjön meg arról, hogy nem törli a beállításkulcsot.
AIP-alkalmazások konfigurálása a klasszikus ügyfélhez
Releváns: Csak a klasszikus AIP-ügyfél
Beállításjegyzék-csomópont | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
---|---|
Név | WebServiceUrl |
Érték | https://api.informationprotection.azure.us |
Típus | REG_SZ (sztring) |
Tűzfalak és hálózati infrastruktúra
Ha tűzfallal vagy hasonló beavatkozó hálózati eszközökkel rendelkezik, amelyek meghatározott kapcsolatok engedélyezésére vannak konfigurálva, az alábbi beállításokkal biztosíthatja a zökkenőmentes kommunikációt az Azure Information Protection számára.
TLS-ügyfél-szolgáltatás kapcsolat: Ne állítsa le a TLS ügyfél-szolgáltatás kapcsolatát a rms.aadrm.us URL-címhez (például csomagszintű vizsgálat elvégzéséhez).
Az alábbi PowerShell-parancsokkal megállapíthatja, hogy az ügyfélkapcsolat megszakadt-e, mielőtt az elérené a Azure Tartalomvédelmi szolgáltatások szolgáltatást:
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer
Az eredménynek azt kell mutatnia, hogy a kiállító hitelesítésszolgáltató microsoftos hitelesítésszolgáltatótól származik, például:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
. Ha olyan hitelesítésszolgáltatói nevet lát, amely nem a Microsofttól származik, valószínű, hogy a biztonságos ügyfél-szolgáltatás kapcsolat megszakad, és újra kell konfigurálni a tűzfalon.Címkék és címkeszabályzatok letöltése (csak AIP klasszikus ügyfél esetében): Ha engedélyezni szeretné, hogy a klasszikus Azure Information Protection-ügyfél letöltse a címkéket és a címkeszabályzatokat, engedélyezze az URL-api.informationprotection.azure.us HTTPS-en keresztül.
További információkért lásd:
Szolgáltatáscímkék
Mindenképpen engedélyezze az összes port elérését a következő szolgáltatáscímkékhez:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend