Microsoft Purview információvédelem a 21Vianet által üzemeltetett Office 365-höz

Ez a cikk a 21Vianet által üzemeltetett Office 365 Microsoft Purview információvédelem támogatása és a korábban Azure Information Protection (AIP) néven ismert kereskedelmi ajánlatokra korlátozódó kereskedelmi ajánlatok közötti különbségeket, valamint a kínai ügyfelekre vonatkozó konkrét konfigurációs utasításokat ismerteti, beleértve az információs védelmi szkenner telepítését és a tartalomvizsgálati feladatok kezelését.

A 21Vianet és a kereskedelmi ajánlatok közötti különbségek

Bár a célunk az, hogy a 21Vianet-ajánlattal üzemeltetett Office 365-höz nyújtott Microsoft Purview információvédelem támogatásunkkal kínában minden kereskedelmi funkciót és funkciót kiszolgáljunk, néhány funkció hiányzik:

• Az Active Directory Rights Management Services (AD RMS) titkosítása csak Nagyvállalati Microsoft 365-alkalmazások támogatott (11731.10000-s vagy újabb build). Az Office Professional Plus nem támogatja az AD RMS-t.

• Az AD RMS-ről az AIP-be való migrálás jelenleg nem érhető el.

• Támogatott a védett e-mailek megosztása a kereskedelmi felhő felhasználóival.

• A dokumentumok és e-mail mellékletek megosztása a kereskedelmi felhő felhasználóival jelenleg nem érhető el. Ez magában foglalja a kereskedelmi felhő 21Vianet-felhasználói által üzemeltetett Office 365-öt, a kereskedelmi felhőben lévő 21Vianet-felhasználók által üzemeltetett Nem Office 365-öt, valamint az RMS for Individuals licenccel rendelkező felhasználókat.

• A SharePointtal (IRM által védett webhelyek és tárak) rendelkező IRM jelenleg nem érhető el.

• Az AD RMS mobileszköz-bővítménye jelenleg nem érhető el.

• Az Azure China 21Vianet nem támogatja a Mobile Viewert .

• A megfelelőségi portál képolvasó területe kínában nem érhető el az ügyfelek számára. A PowerShell-parancsok használata a portálon végzett műveletek, például a tartalomvizsgálati feladatok kezelése és futtatása helyett.

• A 21Vianet-környezetben lévő Microsoft Purview információvédelem ügyfél hálózati végpontjai eltérnek a többi felhőszolgáltatáshoz szükséges végponttól. Az ügyfelek és a következő végpontok közötti hálózati kapcsolat szükséges:

  • Címke- és címkeszabályzatok letöltése: *.protection.partner.outlook.cn
  • Azure Tartalomvédelmi szolgáltatások szolgáltatás:*.aadrm.cn

• Dokumentumkövetés és a felhasználók által történő visszavonás jelenleg nem érhető el.

Ügyfelek konfigurálása a 21Vianetben

A 21Vianet által üzemeltetett Office 365 Microsoft Purview információvédelem támogatásának konfigurálása:

1. Engedélyezze a Rights Managementet a bérlő számára.

2. Adja hozzá a Microsoft Information Protection Szinkronizálási szolgáltatásnevet.

3. Konfigurálja a DNS-titkosítást.

4. Telepítse és konfigurálja a Microsoft Purview információvédelem-ügyfelet.

5. Konfigurálja a Windows beállításait.

6. Telepítse az információvédelmi szkennert, és kezelje a tartalomvizsgálati feladatokat.

1. lépés: A Rights Management engedélyezése a bérlő számára

Ahhoz, hogy a titkosítás megfelelően működjön, engedélyezni kell a tartalomvédelmi szolgáltatást (RMS) a bérlő számára.

1. Ellenőrizze, hogy az RMS engedélyezve van-e:

   1. Indítsa el a PowerShellt rendszergazdaként.
   2. Ha az AIPService modul nincs telepítve, futtassa Install-Module AipService.
   3. Importálja a modult a következővel Import-Module AipService: .
   4. Csatlakozás a szolgáltatáshoz Connect-AipService -environmentname azurechinaclouda .
   5. Futtassa (Get-AipServiceConfiguration).FunctionalState az állapotot, és ellenőrizze, hogy az állapot van-e Enabled.

2. Ha a működési állapot a következő, futtassa a Disabledparancsot Enable-AipService.

2. lépés: A Microsoft Information Protection Szinkronizálási szolgáltatásnév hozzáadása

A Microsoft Information Protection Szinkronizálási szolgáltatásnév alapértelmezés szerint nem érhető el az Azure China-bérlőkben, és az Azure Information Protectionhez szükséges. Hozza létre ezt a szolgáltatásnevet manuálisan az Azure Az PowerShell-modulon keresztül.

1. Ha nincs telepítve az Azure Az modul, telepítse vagy használjon olyan erőforrást, amelyben az Azure Az modul előre telepítve van, például az Azure Cloud Shellt. További információ: Az Azure Az PowerShell-modul telepítése.

2. Csatlakozás a szolgáltatáshoz az Csatlakozás-AzAccount parancsmaggal és a azurechinacloud környezet nevével:

   Connect-azaccount -environmentname azurechinacloud
   

3. Hozza létre manuálisan a Microsoft Information Protection Szinkronizálási szolgáltatásnevet a New-AzADServicePrincipal parancsmaggal és a 870c4f2e-85b6-4d43-bdda-6ed9a579b725 Microsoft Purview információvédelem Szinkronizálási szolgáltatás alkalmazásazonosítójával:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. A szolgáltatásnév hozzáadása után adja hozzá a szolgáltatáshoz szükséges megfelelő engedélyeket.

3. lépés: DNS-titkosítás konfigurálása

Ahhoz, hogy a titkosítás megfelelően működjön, az Office-ügyfélalkalmazásoknak csatlakozniuk kell a szolgáltatás kínai példányához, és onnan kell bootstrap-t indítaniuk. Ha az ügyfélalkalmazásokat a megfelelő szolgáltatáspéldányra szeretné átirányítani, a bérlői rendszergazdának konfigurálnia kell egy DNS SRV rekordot az Azure RMS URL-címével kapcsolatos információkkal. A DNS SRV rekord nélkül az ügyfélalkalmazás alapértelmezés szerint megpróbál csatlakozni a nyilvános felhőpéldányhoz, és sikertelen lesz.

A feltételezés az is, hogy a felhasználók a bérlő tulajdonában lévő tartományon (például) alapuló felhasználónévvel jelentkeznek be, joe@contoso.cnnem pedig a onmschina felhasználónévvel (például joe@contoso.onmschina.cn). A rendszer a felhasználónév tartománynevét használja a DNS-átirányításhoz a megfelelő szolgáltatáspéldányra.

DNS-titkosítás konfigurálása – Windows

1. Az RMS-azonosító lekérése:

   1. Indítsa el a PowerShellt rendszergazdaként.
   2. Ha az AIPService modul nincs telepítve, futtassa Install-Module AipService.
   3. Csatlakozás a szolgáltatáshoz Connect-AipService -environmentname azurechinaclouda .
   4. Futtassa (Get-AipServiceConfiguration).RightsManagementServiceId az RMS-azonosító lekéréséhez.

2. Jelentkezzen be a DNS-szolgáltatóhoz, keresse meg a tartomány DNS-beállításait, majd adjon hozzá egy új SRV rekordot.

   • Szolgáltatás = _rmsredir
   • Protokoll = _http
   • Név = _tcp
   • Cél = [GUID].rms.aadrm.cn (ahol a GUID az RMS-azonosító)
   • Prioritás, Súly, Másodperc, TTL = alapértelmezett értékek

3. Az egyéni tartomány társítása a bérlővel az Azure Portalon. Ez hozzáad egy bejegyzést a DNS-hez, ami eltarthat néhány percig, amíg az értéket hozzáadja a DNS-beállításokhoz.

4. Jelentkezzen be a Microsoft 365 Felügyeleti központ a megfelelő globális rendszergazdai hitelesítő adatokkal, contoso.cnés adja hozzá a tartományt (például ) a felhasználók létrehozásához. Az ellenőrzési folyamat során további DNS-módosításokra lehet szükség. Az ellenőrzés után létre lehet hozni felhasználókat.

DNS-titkosítás konfigurálása – Mac, iOS, Android

Jelentkezzen be a DNS-szolgáltatóhoz, keresse meg a tartomány DNS-beállításait, majd adjon hozzá egy új SRV rekordot.

• Szolgáltatás = _rmsdisco
• Protokoll = _http
• Név = _tcp
• Cél = api.aadrm.cn
• Port = 80
• Prioritás, Súly, Másodperc, TTL = alapértelmezett értékek

4. lépés: A címkézési ügyfél telepítése és konfigurálása

Töltse le és telepítse a Microsoft Purview információvédelem-ügyfelet a Microsoft Letöltőközpontból.

További információk:

• Bizalmassági címkézés kiterjesztése Windows rendszeren
• Microsoft Purview információvédelem ügyfél – Kiadáskezelés és támogatottság

5. lépés: A Windows beállításainak konfigurálása

A Windowsnak a hitelesítéshez a következő beállításkulcsra van szüksége ahhoz, hogy az Azure China megfelelő szuverén felhőre mutasson:

• Beállításcsomópont = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Név = CloudEnvType
• Érték = 6 (alapértelmezett = 0)
• Típus = REG_DWORD

Fontos

Győződjön meg arról, hogy az eltávolítás után nem törli a beállításkulcsot. Ha a kulcs üres, helytelen vagy nem létezik, a funkció alapértelmezett értékként fog viselkedni (alapértelmezett érték = 0 a kereskedelmi felhő esetében). Ha a kulcs üres vagy helytelen, a rendszer nyomtatási hibát is hozzáad a naplóhoz.

6. lépés: Az információvédelmi ellenőrző telepítése és a tartalomvizsgálati feladatok kezelése

Telepítse a Microsoft Purview információvédelem szkennert a hálózati és tartalommegosztások bizalmas adatok kereséséhez, valamint a szervezeti szabályzatban konfigurált besorolási és védelmi címkék alkalmazásához.

A tartalomvizsgálati feladatok konfigurálásakor és kezelésekor a kereskedelmi ajánlatok által használt Microsoft Purview megfelelőségi portál helyett használja az alábbi eljárást.

További információ : Információ az információvédelmi szkennerről és a tartalomvizsgálati feladatok csak a PowerShell használatával történő kezeléséről.

A képolvasó telepítése és konfigurálása:

1. Jelentkezzen be a képolvasót futtató Windows Server-számítógépre. Használjon olyan fiókot, amely helyi rendszergazdai jogosultságokkal rendelkezik, és rendelkezik az SQL Server főadatbázisába való íráshoz szükséges engedélyekkel.

2. Kezdje a PowerShell bezárásával. Ha korábban telepítette az információvédelmi szkennert, győződjön meg arról, hogy a Microsoft Purview információvédelem Scanner szolgáltatás le van állítva.

3. Nyisson meg egy Windows PowerShell-munkamenetet a Futtatás rendszergazdaként lehetőséggel.

4. Futtassa az Install-Scanner parancsmagot, és adja meg az SQL Server-példányt, amelyen adatbázist szeretne létrehozni a Microsoft Purview információvédelem scanner számára, és adjon egy értelmes nevet a képolvasófürtnek.

   Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Tipp.

   Az Install-Scanner parancsban ugyanazzal a fürtnévvel több képolvasócsomópontot is társíthat ugyanahhoz a fürthöz. Ha ugyanazt a fürtöt több szkennercsomóponthoz használja, több képolvasó is együttműködhet a vizsgálatok elvégzéséhez.

5. Ellenőrizze, hogy a szolgáltatás telepítve van-e a Rendszergazda istrative Tools>Services használatával.

   A telepített szolgáltatás neve Microsoft Purview információvédelem Scanner, és úgy van konfigurálva, hogy a létrehozott scanner szolgáltatásfiók használatával fusson.

6. Szerezze be az Azure-jogkivonatot a szkennerrel való használathoz. A Microsoft Entra-jogkivonat lehetővé teszi, hogy a képolvasó hitelesítse magát az Azure Information Protection szolgáltatásban, így a képolvasó nem interaktív módon futtatható.

   1. Nyissa meg az Azure Portalt, és hozzon létre egy Microsoft Entra-alkalmazást a hitelesítéshez szükséges hozzáférési jogkivonat megadásához. További információ: Fájlok nem interaktív címkézése az Azure Information Protectionben.

      Tipp.

      Amikor Microsoft Entra-alkalmazásokat hoz létre és konfigurál a Set-Authentication parancshoz, a Kérelem API engedélypaneljén a Szervezet által használt API-k jelennek meg a Microsoft API-k lap helyett. Válassza ki a szervezet által használt API-kat, majd válassza ki a Azure Tartalomvédelmi szolgáltatások-szolgáltatásokat.

   2. A Windows Server számítógépről, ha a képolvasó szolgáltatásfiókja helyileg megkapta a bejelentkezést a telepítéshez, jelentkezzen be ezzel a fiókkal, és indítsa el a PowerShell-munkamenetet.

      Ha a scanner szolgáltatásfiókja nem tud helyileg bejelentkezni a telepítéshez, használja az OnBehalfOf paramétert a Set-Authentication használatával, a fájlok nem interaktív címkézése az Azure Information Protectionhez című cikkben leírtak szerint.

   3. Futtassa a Set-Authenticationt, és adja meg a Microsoft Entra-alkalmazásból másolt értékeket:

   Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Példa:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   A képolvasó most már rendelkezik egy jogkivonattal a Microsoft Entra-azonosító hitelesítéséhez. Ez a jogkivonat egy évig, két évig vagy soha nem érvényes a Microsoft Entra ID-ban a webalkalmazás /API-ügyfél titkos kódjának konfigurációja szerint. Ha a jogkivonat lejár, meg kell ismételnie ezt az eljárást.

7. Futtassa a Set-ScannerConfiguration parancsmagot, hogy a képolvasó offline módban működjön. Futtatás:

   Set-ScannerConfiguration -OnlineConfiguration Off
   

8. Futtassa a Set-ScannerContentScanJob parancsmagot egy alapértelmezett tartalomvizsgálati feladat létrehozásához.

   A Set-ScannerContentScanJob parancsmag egyetlen kötelező paramétere a Kényszerítés. Előfordulhat azonban, hogy a tartalomvizsgálati feladat egyéb beállításait is meg szeretné határozni. Példa:

   Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   A fenti szintaxis a következő beállításokat konfigurálja a konfiguráció folytatása közben:

   • A képolvasó futási ütemezését manuálisra tartja
   • A felderítendő információtípusok beállítása a bizalmassági címkézési szabályzat alapján
   • Nem kényszerít bizalmassági címkézési szabályzatot
   • Fájlok automatikus címkézése tartalom alapján, a bizalmassági címkézési szabályzathoz definiált alapértelmezett címke használatával
   • Nem engedélyezi a fájlok újracímkézését
   • Megőrzi a fájladatokat a beolvasás és az automatikus címkézés során, beleértve a módosított dátumot, az utolsó módosítást és az értékekkel való módosítást
   • A képolvasót úgy állítja be, hogy .msg és .tmp fájlokat kizárja a futtatáskor
   • Az alapértelmezett tulajdonos beállítása arra a fiókra, amelyet a képolvasó futtatásakor használni szeretne

9. Az Add-ScannerRepository parancsmaggal definiálhatja a tartalomvizsgálati feladatban vizsgálandó adattárakat. Futtassa például a következőt:

   Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Használja az alábbi szintaxisok egyikét a hozzáadni kívánt adattár típusától függően:

   • Hálózati megosztás esetén használja a következőt \\Server\Folder: .
   • SharePoint-tárak esetén használja a következőt http://sharepoint.contoso.com/Shared%20Documents/Folder: .
   • Helyi elérési út esetén: C:\Folder
   • UNC elérési út esetén: \\Server\Folder

   Feljegyzés

   A helyettesítő karakterek nem támogatottak, és a WebDav helyek nem támogatottak.

   Az adattár későbbi módosításához használja inkább a Set-ScannerRepository parancsmagot .

Szükség szerint folytassa a következő lépésekkel:

• Felderítési ciklus futtatása és a Scanner jelentéseinek megtekintése
• A PowerShell használatával konfigurálhatja a képolvasót a besorolás és a védelem alkalmazásához
• DLP-szabályzat konfigurálása a képolvasóval a PowerShell használatával

Az alábbi táblázat a képolvasó telepítéséhez és a tartalomvizsgálati feladatok kezeléséhez szükséges PowerShell-parancsmagokat sorolja fel:

Parancsmag	Leírás
Add-ScannerRepository	Új tárházat ad hozzá a tartalomvizsgálati feladathoz.
Get-ScannerConfiguration	A fürt adatait adja vissza.
Get-ScannerContentScan	Lekéri a tartalomvizsgálati feladat részleteit.
Get-ScannerRepository	Lekéri a tartalomvizsgálati feladathoz definiált adattárak részleteit.
Remove-ScannerContentScan	Törli a tartalomvizsgálati feladatot.
Remove-ScannerRepository	Eltávolít egy adattárat a tartalomvizsgálati feladatból.
Set-ScannerContentScan	Meghatározza a tartalomvizsgálati feladat beállításait.
Set-ScannerRepository	A tartalomvizsgálati feladat egy meglévő adattárának beállításait határozza meg.

További információk:

• Tudnivalók az információvédelmi szkennerről
• Az információvédelmi szkenner konfigurálása és telepítése
• Tartalomvizsgálati feladatok kezelése csak a PowerShell használatával