Microsoft Purview információvédelem a 21Vianet által üzemeltetett Office 365-höz
Ez a cikk a 21Vianet által üzemeltetett Office 365 Microsoft Purview információvédelem támogatása és a korábban Azure Information Protection (AIP) néven ismert kereskedelmi ajánlatokra korlátozódó kereskedelmi ajánlatok közötti különbségeket, valamint a kínai ügyfelekre vonatkozó konkrét konfigurációs utasításokat ismerteti, beleértve az információs védelmi szkenner telepítését és a tartalomvizsgálati feladatok kezelését.
A 21Vianet és a kereskedelmi ajánlatok közötti különbségek
Bár a célunk az, hogy a 21Vianet-ajánlattal üzemeltetett Office 365-höz nyújtott Microsoft Purview információvédelem támogatásunkkal kínában minden kereskedelmi funkciót és funkciót kiszolgáljunk, néhány funkció hiányzik:
Az Active Directory Rights Management Services (AD RMS) titkosítása csak Nagyvállalati Microsoft 365-alkalmazások támogatott (11731.10000-s vagy újabb build). Az Office Professional Plus nem támogatja az AD RMS-t.
Az AD RMS-ről az AIP-be való migrálás jelenleg nem érhető el.
Támogatott a védett e-mailek megosztása a kereskedelmi felhő felhasználóival.
A dokumentumok és e-mail mellékletek megosztása a kereskedelmi felhő felhasználóival jelenleg nem érhető el. Ez magában foglalja a kereskedelmi felhő 21Vianet-felhasználói által üzemeltetett Office 365-öt, a kereskedelmi felhőben lévő 21Vianet-felhasználók által üzemeltetett Nem Office 365-öt, valamint az RMS for Individuals licenccel rendelkező felhasználókat.
A SharePointtal (IRM által védett webhelyek és tárak) rendelkező IRM jelenleg nem érhető el.
Az AD RMS mobileszköz-bővítménye jelenleg nem érhető el.
A megfelelőségi portál képolvasó területe kínában nem érhető el az ügyfelek számára. A PowerShell-parancsok használata a portálon végzett műveletek, például a tartalomvizsgálati feladatok kezelése és futtatása helyett.
A 21Vianet-környezetben lévő Microsoft Purview információvédelem ügyfél hálózati végpontjai eltérnek a többi felhőszolgáltatáshoz szükséges végponttól. Az ügyfelek és a következő végpontok közötti hálózati kapcsolat szükséges:
- Címke- és címkeszabályzatok letöltése:
*.protection.partner.outlook.cn
- Azure Tartalomvédelmi szolgáltatások szolgáltatás:
*.aadrm.cn
- Címke- és címkeszabályzatok letöltése:
Dokumentumkövetés és a felhasználók által történő visszavonás jelenleg nem érhető el.
Ügyfelek konfigurálása a 21Vianetben
A 21Vianet által üzemeltetett Office 365 Microsoft Purview információvédelem támogatásának konfigurálása:
Adja hozzá a Microsoft Information Protection Szinkronizálási szolgáltatásnevet.
Telepítse és konfigurálja a Microsoft Purview információvédelem-ügyfelet.
Telepítse az információvédelmi szkennert, és kezelje a tartalomvizsgálati feladatokat.
1. lépés: A Rights Management engedélyezése a bérlő számára
Ahhoz, hogy a titkosítás megfelelően működjön, engedélyezni kell a tartalomvédelmi szolgáltatást (RMS) a bérlő számára.
Ellenőrizze, hogy az RMS engedélyezve van-e:
- Indítsa el a PowerShellt rendszergazdaként.
- Ha az AIPService modul nincs telepítve, futtassa
Install-Module AipService
. - Importálja a modult a következővel
Import-Module AipService
: . - Csatlakozás a szolgáltatáshoz
Connect-AipService -environmentname azurechinacloud
a . - Futtassa
(Get-AipServiceConfiguration).FunctionalState
az állapotot, és ellenőrizze, hogy az állapot van-eEnabled
.
Ha a működési állapot a következő, futtassa a
Disabled
parancsotEnable-AipService
.
2. lépés: A Microsoft Information Protection Szinkronizálási szolgáltatásnév hozzáadása
A Microsoft Information Protection Szinkronizálási szolgáltatásnév alapértelmezés szerint nem érhető el az Azure China-bérlőkben, és az Azure Information Protectionhez szükséges. Hozza létre ezt a szolgáltatásnevet manuálisan az Azure Az PowerShell-modulon keresztül.
Ha nincs telepítve az Azure Az modul, telepítse vagy használjon olyan erőforrást, amelyben az Azure Az modul előre telepítve van, például az Azure Cloud Shellt. További információ: Az Azure Az PowerShell-modul telepítése.
Csatlakozás a szolgáltatáshoz az Csatlakozás-AzAccount parancsmaggal és a
azurechinacloud
környezet nevével:Connect-azaccount -environmentname azurechinacloud
Hozza létre manuálisan a Microsoft Information Protection Szinkronizálási szolgáltatásnevet a New-AzADServicePrincipal parancsmaggal és a
870c4f2e-85b6-4d43-bdda-6ed9a579b725
Microsoft Purview információvédelem Szinkronizálási szolgáltatás alkalmazásazonosítójával:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
A szolgáltatásnév hozzáadása után adja hozzá a szolgáltatáshoz szükséges megfelelő engedélyeket.
3. lépés: DNS-titkosítás konfigurálása
Ahhoz, hogy a titkosítás megfelelően működjön, az Office-ügyfélalkalmazásoknak csatlakozniuk kell a szolgáltatás kínai példányához, és onnan kell bootstrap-t indítaniuk. Ha az ügyfélalkalmazásokat a megfelelő szolgáltatáspéldányra szeretné átirányítani, a bérlői rendszergazdának konfigurálnia kell egy DNS SRV rekordot az Azure RMS URL-címével kapcsolatos információkkal. A DNS SRV rekord nélkül az ügyfélalkalmazás alapértelmezés szerint megpróbál csatlakozni a nyilvános felhőpéldányhoz, és sikertelen lesz.
A feltételezés az is, hogy a felhasználók a bérlő tulajdonában lévő tartományon (például) alapuló felhasználónévvel jelentkeznek be, joe@contoso.cn
nem pedig a onmschina
felhasználónévvel (például joe@contoso.onmschina.cn
). A rendszer a felhasználónév tartománynevét használja a DNS-átirányításhoz a megfelelő szolgáltatáspéldányra.
DNS-titkosítás konfigurálása – Windows
Az RMS-azonosító lekérése:
- Indítsa el a PowerShellt rendszergazdaként.
- Ha az AIPService modul nincs telepítve, futtassa
Install-Module AipService
. - Csatlakozás a szolgáltatáshoz
Connect-AipService -environmentname azurechinacloud
a . - Futtassa
(Get-AipServiceConfiguration).RightsManagementServiceId
az RMS-azonosító lekéréséhez.
Jelentkezzen be a DNS-szolgáltatóhoz, keresse meg a tartomány DNS-beállításait, majd adjon hozzá egy új SRV rekordot.
- Szolgáltatás =
_rmsredir
- Protokoll =
_http
- Név =
_tcp
- Cél =
[GUID].rms.aadrm.cn
(ahol a GUID az RMS-azonosító) - Prioritás, Súly, Másodperc, TTL = alapértelmezett értékek
- Szolgáltatás =
Az egyéni tartomány társítása a bérlővel az Azure Portalon. Ez hozzáad egy bejegyzést a DNS-hez, ami eltarthat néhány percig, amíg az értéket hozzáadja a DNS-beállításokhoz.
Jelentkezzen be a Microsoft 365 Felügyeleti központ a megfelelő globális rendszergazdai hitelesítő adatokkal,
contoso.cn
és adja hozzá a tartományt (például ) a felhasználók létrehozásához. Az ellenőrzési folyamat során további DNS-módosításokra lehet szükség. Az ellenőrzés után létre lehet hozni felhasználókat.
DNS-titkosítás konfigurálása – Mac, iOS, Android
Jelentkezzen be a DNS-szolgáltatóhoz, keresse meg a tartomány DNS-beállításait, majd adjon hozzá egy új SRV rekordot.
- Szolgáltatás =
_rmsdisco
- Protokoll =
_http
- Név =
_tcp
- Cél =
api.aadrm.cn
- Port =
80
- Prioritás, Súly, Másodperc, TTL = alapértelmezett értékek
4. lépés: A címkézési ügyfél telepítése és konfigurálása
Töltse le és telepítse a Microsoft Purview információvédelem-ügyfelet a Microsoft Letöltőközpontból.
További információk:
- Bizalmassági címkézés kiterjesztése Windows rendszeren
- Microsoft Purview információvédelem ügyfél – Kiadáskezelés és támogatottság
5. lépés: A Windows beállításainak konfigurálása
A Windowsnak a hitelesítéshez a következő beállításkulcsra van szüksége ahhoz, hogy az Azure China megfelelő szuverén felhőre mutasson:
- Beállításcsomópont =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Név =
CloudEnvType
- Érték =
6
(alapértelmezett = 0) - Típus =
REG_DWORD
Fontos
Győződjön meg arról, hogy az eltávolítás után nem törli a beállításkulcsot. Ha a kulcs üres, helytelen vagy nem létezik, a funkció alapértelmezett értékként fog viselkedni (alapértelmezett érték = 0 a kereskedelmi felhő esetében). Ha a kulcs üres vagy helytelen, a rendszer nyomtatási hibát is hozzáad a naplóhoz.
6. lépés: Az információvédelmi ellenőrző telepítése és a tartalomvizsgálati feladatok kezelése
Telepítse a Microsoft Purview információvédelem szkennert a hálózati és tartalommegosztások bizalmas adatok kereséséhez, valamint a szervezeti szabályzatban konfigurált besorolási és védelmi címkék alkalmazásához.
A tartalomvizsgálati feladatok konfigurálásakor és kezelésekor a kereskedelmi ajánlatok által használt Microsoft Purview megfelelőségi portál helyett használja az alábbi eljárást.
További információ : Információ az információvédelmi szkennerről és a tartalomvizsgálati feladatok csak a PowerShell használatával történő kezeléséről.
A képolvasó telepítése és konfigurálása:
Jelentkezzen be a képolvasót futtató Windows Server-számítógépre. Használjon olyan fiókot, amely helyi rendszergazdai jogosultságokkal rendelkezik, és rendelkezik az SQL Server főadatbázisába való íráshoz szükséges engedélyekkel.
Kezdje a PowerShell bezárásával. Ha korábban telepítette az információvédelmi szkennert, győződjön meg arról, hogy a Microsoft Purview információvédelem Scanner szolgáltatás le van állítva.
Nyisson meg egy Windows PowerShell-munkamenetet a Futtatás rendszergazdaként lehetőséggel.
Futtassa az Install-Scanner parancsmagot, és adja meg az SQL Server-példányt, amelyen adatbázist szeretne létrehozni a Microsoft Purview információvédelem scanner számára, és adjon egy értelmes nevet a képolvasófürtnek.
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
Tipp.
Az Install-Scanner parancsban ugyanazzal a fürtnévvel több képolvasócsomópontot is társíthat ugyanahhoz a fürthöz. Ha ugyanazt a fürtöt több szkennercsomóponthoz használja, több képolvasó is együttműködhet a vizsgálatok elvégzéséhez.
Ellenőrizze, hogy a szolgáltatás telepítve van-e a Rendszergazda istrative Tools>Services használatával.
A telepített szolgáltatás neve Microsoft Purview információvédelem Scanner, és úgy van konfigurálva, hogy a létrehozott scanner szolgáltatásfiók használatával fusson.
Szerezze be az Azure-jogkivonatot a szkennerrel való használathoz. A Microsoft Entra-jogkivonat lehetővé teszi, hogy a képolvasó hitelesítse magát az Azure Information Protection szolgáltatásban, így a képolvasó nem interaktív módon futtatható.
Nyissa meg az Azure Portalt, és hozzon létre egy Microsoft Entra-alkalmazást a hitelesítéshez szükséges hozzáférési jogkivonat megadásához. További információ: Fájlok nem interaktív címkézése az Azure Information Protectionben.
Tipp.
Amikor Microsoft Entra-alkalmazásokat hoz létre és konfigurál a Set-Authentication parancshoz, a Kérelem API engedélypaneljén a Szervezet által használt API-k jelennek meg a Microsoft API-k lap helyett. Válassza ki a szervezet által használt API-kat, majd válassza ki a Azure Tartalomvédelmi szolgáltatások-szolgáltatásokat.
A Windows Server számítógépről, ha a képolvasó szolgáltatásfiókja helyileg megkapta a bejelentkezést a telepítéshez, jelentkezzen be ezzel a fiókkal, és indítsa el a PowerShell-munkamenetet.
Ha a scanner szolgáltatásfiókja nem tud helyileg bejelentkezni a telepítéshez, használja az OnBehalfOf paramétert a Set-Authentication használatával, a fájlok nem interaktív címkézése az Azure Information Protectionhez című cikkben leírtak szerint.
Futtassa a Set-Authenticationt, és adja meg a Microsoft Entra-alkalmazásból másolt értékeket:
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Példa:
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
A képolvasó most már rendelkezik egy jogkivonattal a Microsoft Entra-azonosító hitelesítéséhez. Ez a jogkivonat egy évig, két évig vagy soha nem érvényes a Microsoft Entra ID-ban a webalkalmazás /API-ügyfél titkos kódjának konfigurációja szerint. Ha a jogkivonat lejár, meg kell ismételnie ezt az eljárást.
Futtassa a Set-ScannerConfiguration parancsmagot, hogy a képolvasó offline módban működjön. Futtatás:
Set-ScannerConfiguration -OnlineConfiguration Off
Futtassa a Set-ScannerContentScanJob parancsmagot egy alapértelmezett tartalomvizsgálati feladat létrehozásához.
A Set-ScannerContentScanJob parancsmag egyetlen kötelező paramétere a Kényszerítés. Előfordulhat azonban, hogy a tartalomvizsgálati feladat egyéb beállításait is meg szeretné határozni. Példa:
Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
A fenti szintaxis a következő beállításokat konfigurálja a konfiguráció folytatása közben:
- A képolvasó futási ütemezését manuálisra tartja
- A felderítendő információtípusok beállítása a bizalmassági címkézési szabályzat alapján
- Nem kényszerít bizalmassági címkézési szabályzatot
- Fájlok automatikus címkézése tartalom alapján, a bizalmassági címkézési szabályzathoz definiált alapértelmezett címke használatával
- Nem engedélyezi a fájlok újracímkézését
- Megőrzi a fájladatokat a beolvasás és az automatikus címkézés során, beleértve a módosított dátumot, az utolsó módosítást és az értékekkel való módosítást
- A képolvasót úgy állítja be, hogy .msg és .tmp fájlokat kizárja a futtatáskor
- Az alapértelmezett tulajdonos beállítása arra a fiókra, amelyet a képolvasó futtatásakor használni szeretne
Az Add-ScannerRepository parancsmaggal definiálhatja a tartalomvizsgálati feladatban vizsgálandó adattárakat. Futtassa például a következőt:
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Használja az alábbi szintaxisok egyikét a hozzáadni kívánt adattár típusától függően:
- Hálózati megosztás esetén használja a következőt
\\Server\Folder
: . - SharePoint-tárak esetén használja a következőt
http://sharepoint.contoso.com/Shared%20Documents/Folder
: . - Helyi elérési út esetén:
C:\Folder
- UNC elérési út esetén:
\\Server\Folder
Feljegyzés
A helyettesítő karakterek nem támogatottak, és a WebDav helyek nem támogatottak.
Az adattár későbbi módosításához használja inkább a Set-ScannerRepository parancsmagot .
- Hálózati megosztás esetén használja a következőt
Szükség szerint folytassa a következő lépésekkel:
- Felderítési ciklus futtatása és a Scanner jelentéseinek megtekintése
- A PowerShell használatával konfigurálhatja a képolvasót a besorolás és a védelem alkalmazásához
- DLP-szabályzat konfigurálása a képolvasóval a PowerShell használatával
Az alábbi táblázat a képolvasó telepítéséhez és a tartalomvizsgálati feladatok kezeléséhez szükséges PowerShell-parancsmagokat sorolja fel:
Parancsmag | Leírás |
---|---|
Add-ScannerRepository | Új tárházat ad hozzá a tartalomvizsgálati feladathoz. |
Get-ScannerConfiguration | A fürt adatait adja vissza. |
Get-ScannerContentScan | Lekéri a tartalomvizsgálati feladat részleteit. |
Get-ScannerRepository | Lekéri a tartalomvizsgálati feladathoz definiált adattárak részleteit. |
Remove-ScannerContentScan | Törli a tartalomvizsgálati feladatot. |
Remove-ScannerRepository | Eltávolít egy adattárat a tartalomvizsgálati feladatból. |
Set-ScannerContentScan | Meghatározza a tartalomvizsgálati feladat beállításait. |
Set-ScannerRepository | A tartalomvizsgálati feladat egy meglévő adattárának beállításait határozza meg. |
További információk:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: