A 21Vianet által üzemeltetett Office 365 Azure Information Protection-támogatása
Ez a cikk a 21Vianet és kereskedelmi ajánlatok által üzemeltetett Office 365 Azure Information Protection (AIP) támogatása közötti különbségeket, valamint az AIP kínai ügyfelek számára történő konfigurálásának konkrét utasításait ismerteti, beleértve az információvédelmi szkenner telepítését és a tartalomvizsgálati feladatok kezelését.
A 21Vianet által üzemeltetett Office 365-ös AIP és a kereskedelmi ajánlatok közötti különbségek
Bár a célunk az, hogy a 21Vianet-ajánlattal üzemeltetett AIP for Office 365-ünkkel kínában minden kereskedelmi funkciót és funkciót elérhetővé ttsként biztosítsunk az ügyfeleknek, néhány hiányzó funkciót szeretnénk kiemelni.
Az alábbiakban felsoroljuk a 21Vianet által üzemeltetett Office 365-höz készült AIP és a kereskedelmi ajánlataink közötti különbségeket:
Az Active Directory Rights Management Services (AD RMS) titkosítása csak Nagyvállalati Microsoft 365-alkalmazások támogatott (11731.10000-s vagy újabb build). Az Office Professional Plus nem támogatja az AD RMS-t.
Az AD RMS-ről az AIP-be való migrálás jelenleg nem érhető el.
Támogatott a védett e-mailek megosztása a kereskedelmi felhő felhasználóival.
A dokumentumok és e-mail mellékletek megosztása a kereskedelmi felhő felhasználóival jelenleg nem érhető el. Ez magában foglalja a kereskedelmi felhő 21Vianet-felhasználói által üzemeltetett Office 365-öt, a kereskedelmi felhőben lévő 21Vianet-felhasználók által üzemeltetett Nem Office 365-öt, valamint az RMS for Individuals licenccel rendelkező felhasználókat.
A SharePointtal (IRM által védett webhelyek és tárak) rendelkező IRM jelenleg nem érhető el.
Az AD RMS mobileszköz-bővítménye jelenleg nem érhető el.
A megfelelőségi portál képolvasó területe kínában nem érhető el az ügyfelek számára. A PowerShell-parancsok használata a portálon végzett műveletek, például a tartalomvizsgálati feladatok kezelése és futtatása helyett.
A 21Vianet által üzemeltetett Office 365 AIP-végpontjai eltérnek a többi felhőszolgáltatáshoz szükséges végponttól. Az ügyfelek és a következő végpontok közötti hálózati kapcsolat szükséges:
- Címke- és címkeszabályzatok letöltése:
*.protection.partner.outlook.cn
- Azure Tartalomvédelmi szolgáltatások szolgáltatás:
*.aadrm.cn
- Címke- és címkeszabályzatok letöltése:
Dokumentumkövetés és a felhasználók által történő visszavonás jelenleg nem érhető el.
Az AIP konfigurálása kínában lévő ügyfelek számára
Az AIP konfigurálása kínában lévő ügyfelek számára:
Adja hozzá a Microsoft Information Protection Szinkronizálási szolgáltatásnevet.
Telepítse és konfigurálja az AIP egyesített címkézési ügyfelet.
AIP-alkalmazások konfigurálása Windows rendszeren.
Telepítse az információvédelmi szkennert, és kezelje a tartalomvizsgálati feladatokat.
1. lépés: A Rights Management engedélyezése a bérlő számára
Ahhoz, hogy a titkosítás megfelelően működjön, az RMS-t engedélyezni kell a bérlő számára.
Ellenőrizze, hogy az RMS engedélyezve van-e:
- Indítsa el a PowerShellt rendszergazdaként.
- Ha az AIPService modul nincs telepítve, futtassa
Install-Module AipService
. - Importálja a modult a következővel
Import-Module AipService
: . - Csatlakozás a szolgáltatáshoz
Connect-AipService -environmentname azurechinacloud
a . - Futtassa
(Get-AipServiceConfiguration).FunctionalState
az állapotot, és ellenőrizze, hogy az állapot van-eEnabled
.
Ha a működési állapot a következő, futtassa a
Disabled
parancsotEnable-AipService
.
2. lépés: A Microsoft Information Protection Szinkronizálási szolgáltatásnév hozzáadása
A Microsoft Information Protection Szinkronizálási szolgáltatásnév alapértelmezés szerint nem érhető el az Azure China-bérlőkben, és az Azure Information Protectionhez szükséges. Hozza létre ezt a szolgáltatásnevet manuálisan az Azure Az PowerShell-modulon keresztül.
Ha nincs telepítve az Azure Az modul, telepítse vagy használjon olyan erőforrást, amelyben az Azure Az modul előre telepítve van, például az Azure Cloud Shellt. További információ: Az Azure Az PowerShell-modul telepítése.
Csatlakozás a szolgáltatáshoz az Csatlakozás-AzAccount parancsmaggal és a
azurechinacloud
környezet nevével:Connect-azaccount -environmentname azurechinacloud
Hozza létre manuálisan a Microsoft Information Protection Szinkronizálási szolgáltatásnevet a New-AzADServicePrincipal parancsmaggal és a
870c4f2e-85b6-4d43-bdda-6ed9a579b725
Microsoft Purview információvédelem Szinkronizálási szolgáltatás alkalmazásazonosítójával:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
A szolgáltatásnév hozzáadása után adja hozzá a szolgáltatáshoz szükséges megfelelő engedélyeket.
3. lépés: DNS-titkosítás konfigurálása
Ahhoz, hogy a titkosítás megfelelően működjön, az Office-ügyfélalkalmazásoknak csatlakozniuk kell a szolgáltatás kínai példányához, és onnan kell bootstrap-t indítaniuk. Ha az ügyfélalkalmazásokat a megfelelő szolgáltatáspéldányra szeretné átirányítani, a bérlői rendszergazdának konfigurálnia kell egy DNS SRV rekordot az Azure RMS URL-címével kapcsolatos információkkal. A DNS SRV rekord nélkül az ügyfélalkalmazás alapértelmezés szerint megpróbál csatlakozni a nyilvános felhőpéldányhoz, és sikertelen lesz.
A feltételezés az is, hogy a felhasználók a bérlő tulajdonában lévő tartományon (például) alapuló felhasználónévvel jelentkeznek be, joe@contoso.cn
nem pedig a onmschina
felhasználónévvel (például joe@contoso.onmschina.cn
). A rendszer a felhasználónév tartománynevét használja a DNS-átirányításhoz a megfelelő szolgáltatáspéldányra.
DNS-titkosítás konfigurálása – Windows
Az RMS-azonosító lekérése:
- Indítsa el a PowerShellt rendszergazdaként.
- Ha az AIPService modul nincs telepítve, futtassa
Install-Module AipService
. - Csatlakozás a szolgáltatáshoz
Connect-AipService -environmentname azurechinacloud
a . - Futtassa
(Get-AipServiceConfiguration).RightsManagementServiceId
az RMS-azonosító lekéréséhez.
Jelentkezzen be a DNS-szolgáltatóhoz, keresse meg a tartomány DNS-beállításait, majd adjon hozzá egy új SRV rekordot.
- Szolgáltatás =
_rmsredir
- Protokoll =
_http
- Név =
_tcp
- Cél =
[GUID].rms.aadrm.cn
(ahol a GUID az RMS-azonosító) - Prioritás, Súly, Másodperc, TTL = alapértelmezett értékek
- Szolgáltatás =
Az egyéni tartomány társítása a bérlővel az Azure Portalon. Ez hozzáad egy bejegyzést a DNS-hez, ami eltarthat néhány percig, amíg az értéket hozzáadja a DNS-beállításokhoz.
Jelentkezzen be a Microsoft 365 Felügyeleti központ a megfelelő globális rendszergazdai hitelesítő adatokkal,
contoso.cn
és adja hozzá a tartományt (például ) a felhasználók létrehozásához. Az ellenőrzési folyamat során további DNS-módosításokra lehet szükség. Az ellenőrzés után létre lehet hozni felhasználókat.
DNS-titkosítás konfigurálása – Mac, iOS, Android
Jelentkezzen be a DNS-szolgáltatóhoz, keresse meg a tartomány DNS-beállításait, majd adjon hozzá egy új SRV rekordot.
- Szolgáltatás =
_rmsdisco
- Protokoll =
_http
- Név =
_tcp
- Cél =
api.aadrm.cn
- Port =
80
- Prioritás, Súly, Másodperc, TTL = alapértelmezett értékek
4. lépés: Az AIP egyesített címkézési ügyfél telepítése és konfigurálása
Töltse le és telepítse az AIP egyesített címkézési ügyfelet a Microsoft letöltőközpontból.
További információkért lásd:
- Az AIP dokumentációja
- Az AIP verzióelőzményei és támogatási szabályzata
- Az AIP rendszerkövetelményei
- AIP rövid útmutató: Az AIP-ügyfél üzembe helyezése
- Az AIP rendszergazdai útmutatója
- AIP felhasználói útmutató
- További információ a bizalmassági címkékről
5. lépés: AIP-alkalmazások konfigurálása Windows rendszeren
A Windows AIP-alkalmazásoknak a következő beállításkulcsra van szükségük ahhoz, hogy a megfelelő szuverén felhőre irányítsák őket az Azure China esetében:
- Beállításcsomópont =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Név =
CloudEnvType
- Érték =
6
(alapértelmezett = 0) - Típus =
REG_DWORD
Fontos
Győződjön meg arról, hogy az eltávolítás után nem törli a beállításkulcsot. Ha a kulcs üres, helytelen vagy nem létezik, a funkció alapértelmezett értékként fog viselkedni (alapértelmezett érték = 0 a kereskedelmi felhő esetében). Ha a kulcs üres vagy helytelen, a rendszer nyomtatási hibát is hozzáad a naplóhoz.
6. lépés: Az információvédelmi ellenőrző telepítése és a tartalomvizsgálati feladatok kezelése
Telepítse a Microsoft Purview információvédelem szkennert a hálózati és tartalommegosztások bizalmas adatok kereséséhez, valamint a szervezeti szabályzatban konfigurált besorolási és védelmi címkék alkalmazásához.
A tartalomvizsgálati feladatok konfigurálásakor és kezelésekor a kereskedelmi ajánlatok által használt Microsoft Purview megfelelőségi portál helyett használja az alábbi eljárást.
További információ : Információ az információvédelmi szkennerről és a tartalomvizsgálati feladatok csak a PowerShell használatával történő kezeléséről.
A képolvasó telepítése és konfigurálása:
Jelentkezzen be a képolvasót futtató Windows Server-számítógépre. Használjon olyan fiókot, amely helyi rendszergazdai jogosultságokkal rendelkezik, és rendelkezik az SQL Server főadatbázisába való íráshoz szükséges engedélyekkel.
Kezdje a PowerShell bezárásával. Ha korábban telepítette az AIP-ügyfelet és a szkennert, győződjön meg arról, hogy az AIPScanner szolgáltatás leállt.
Nyisson meg egy Windows PowerShell-munkamenetet a Futtatás rendszergazdaként lehetőséggel.
Futtassa az Install-AIPScanner parancsmagot, és adja meg azt az SQL Server-példányt, amelyen adatbázist szeretne létrehozni az Azure Information Protection scanner számára, és adjon egy értelmes nevet a képolvasófürtnek.
Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
Tipp.
Az Install-AIPScanner parancsban ugyanazt a fürtnevet használhatja több szkennercsomópont ugyanahhoz a fürthöz való társításához. Ha ugyanazt a fürtöt több szkennercsomóponthoz használja, több képolvasó is együttműködhet a vizsgálatok elvégzéséhez.
Ellenőrizze, hogy a szolgáltatás telepítve van-e a Rendszergazda istrative Tools>Services használatával.
A telepített szolgáltatás neve Azure Information Protection Scanner , és úgy van konfigurálva, hogy a létrehozott scanner szolgáltatásfiók használatával fusson.
Szerezze be az Azure-jogkivonatot a szkennerrel való használathoz. A Microsoft Entra-jogkivonat lehetővé teszi, hogy a képolvasó hitelesítse magát az Azure Information Protection szolgáltatásban, így a képolvasó nem interaktív módon futtatható.
Nyissa meg az Azure Portalt, és hozzon létre egy Microsoft Entra-alkalmazást a hitelesítéshez szükséges hozzáférési jogkivonat megadásához. További információ: Fájlok nem interaktív címkézése az Azure Information Protectionben.
Tipp.
Amikor Microsoft Entra-alkalmazásokat hoz létre és konfigurál a Set-AIPAuthentication parancshoz, a Request API engedélypanelen a Szervezet által használt API-k jelennek meg a Microsoft API-k lap helyett. Válassza ki a szervezet által használt API-kat, majd válassza ki a Azure Tartalomvédelmi szolgáltatások-szolgáltatásokat.
A Windows Server számítógépről, ha a képolvasó szolgáltatásfiókja helyileg megkapta a bejelentkezést a telepítéshez, jelentkezzen be ezzel a fiókkal, és indítsa el a PowerShell-munkamenetet.
Ha a scanner szolgáltatásfiókja nem tud helyileg bejelentkezni a telepítéshez, használja az OnBehalfOf paramétert a Set-AIPAuthentication használatával, a fájlok nem interaktív címkézése az Azure Information Protectionhez című cikkben leírtak szerint.
Futtassa a Set-AIPAuthentication parancsot a Microsoft Entra-alkalmazásból másolt értékek megadásával:
Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Példa:
$pscreds = Get-Credential CONTOSO\scanner Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
A képolvasó most már rendelkezik egy jogkivonattal a Microsoft Entra-azonosító hitelesítéséhez. Ez a jogkivonat egy évig, két évig vagy soha nem érvényes a Microsoft Entra ID-ban a webalkalmazás /API-ügyfél titkos kódjának konfigurációja szerint. Ha a jogkivonat lejár, meg kell ismételnie ezt az eljárást.
Futtassa a Set-AIPScannerConfiguration parancsmagot, hogy a képolvasó offline módban működjön. Futtatás:
Set-AIPScannerConfiguration -OnlineConfiguration Off
Futtassa a Set-AIPScannerContentScanJob parancsmagot egy alapértelmezett tartalomvizsgálati feladat létrehozásához.
A Set-AIPScannerContentScanJob parancsmag egyetlen kötelező paramétere a Kényszerítés. Előfordulhat azonban, hogy a tartalomvizsgálati feladat egyéb beállításait is meg szeretné határozni. Példa:
Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
A fenti szintaxis a következő beállításokat konfigurálja a konfiguráció folytatása közben:
- A képolvasó futási ütemezését manuálisra tartja
- A felderítendő információtípusok beállítása a bizalmassági címkézési szabályzat alapján
- Nem kényszerít bizalmassági címkézési szabályzatot
- Fájlok automatikus címkézése tartalom alapján, a bizalmassági címkézési szabályzathoz definiált alapértelmezett címke használatával
- Nem engedélyezi a fájlok újracímkézését
- Megőrzi a fájladatokat a beolvasás és az automatikus címkézés során, beleértve a módosított dátumot, az utolsó módosítást és az értékekkel való módosítást
- A képolvasót úgy állítja be, hogy .msg és .tmp fájlokat kizárja a futtatáskor
- Az alapértelmezett tulajdonos beállítása arra a fiókra, amelyet a képolvasó futtatásakor használni szeretne
Az Add-AIPScannerRepository parancsmaggal definiálhatja a tartalomvizsgálati feladatban vizsgálandó adattárakat. Futtassa például a következőt:
Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Használja az alábbi szintaxisok egyikét a hozzáadni kívánt adattár típusától függően:
- Hálózati megosztás esetén használja a következőt
\\Server\Folder
: . - SharePoint-tárak esetén használja a következőt
http://sharepoint.contoso.com/Shared%20Documents/Folder
: . - Helyi elérési út esetén:
C:\Folder
- UNC elérési út esetén:
\\Server\Folder
Feljegyzés
A helyettesítő karakterek nem támogatottak, és a WebDav helyek nem támogatottak.
Az adattár későbbi módosításához használja helyette a Set-AIPScannerRepository parancsmagot .
- Hálózati megosztás esetén használja a következőt
Szükség szerint folytassa a következő lépésekkel:
- Felderítési ciklus futtatása és a Scanner jelentéseinek megtekintése
- A PowerShell használatával konfigurálhatja a képolvasót a besorolás és a védelem alkalmazásához
- DLP-szabályzat konfigurálása a képolvasóval a PowerShell használatával
Az alábbi táblázat a képolvasó telepítéséhez és a tartalomvizsgálati feladatok kezeléséhez szükséges PowerShell-parancsmagokat sorolja fel:
Parancsmag | Leírás |
---|---|
Add-AIPScannerRepository | Új tárházat ad hozzá a tartalomvizsgálati feladathoz. |
Get-AIPScannerConfiguration | A fürt adatait adja vissza. |
Get-AIPScannerContentScanJob | Lekéri a tartalomvizsgálati feladat részleteit. |
Get-AIPScannerRepository | Lekéri a tartalomvizsgálati feladathoz definiált adattárak részleteit. |
Remove-AIPScannerContentScanJob | Törli a tartalomvizsgálati feladatot. |
Remove-AIPScannerRepository | Eltávolít egy adattárat a tartalomvizsgálati feladatból. |
Set-AIPScannerContentScanJob | Meghatározza a tartalomvizsgálati feladat beállításait. |
Set-AIPScannerRepository | A tartalomvizsgálati feladat egy meglévő adattárának beállításait határozza meg. |
További információkért lásd:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: