Deskripsi Layanan Pemerintah Premium Perlindungan Informasi Azure
Catatan
Untuk memberikan pengalaman pelanggan terpadu dan efisien, klien klasik Perlindungan Informasi Azure dan Manajemen Label di Portal Microsoft Azure tidak digunakan lagi untuk pelanggan GCC, GCC-H, dan DoD per 31 September 2021.
Klien klasik akan secara resmi dihentikan, dan akan berhenti berfungsi, pada 31 Maret 2022.
Semua pelanggan klien klasik Perlindungan Informasi Azure saat ini harus bermigrasi ke platform pelabelan terpadu Perlindungan Informasi Microsoft Purview dan meningkatkan ke klien pelabelan terpadu. Pelajari lebih lanjut di blog migrasi kami.
Cara menggunakan Deskripsi Layanan ini
Pelabelan terpadu Perlindungan Informasi Azure tersedia untuk pelanggan GCC, GCC High, dan DoD.
Deskripsi Layanan Pemerintah Premium Perlindungan Informasi Azure dirancang untuk berfungsi sebagai gambaran umum penawaran kami di lingkungan GCC High dan DoD, dan akan mencakup variasi fitur dibandingkan dengan penawaran komersial Azure Information Protection Premium.
Azure Information Protection Premium Government dan layanan pihak ketiga
Beberapa layanan Azure Information Protection Premium menyediakan kemampuan untuk bekerja dengan lancar dengan aplikasi dan layanan pihak ketiga.
Aplikasi dan layanan pihak ketiga ini dapat melibatkan penyimpanan, transmisi, dan pemrosesan konten pelanggan organisasi Anda pada sistem pihak ketiga yang berada di luar infrastruktur Azure Information Protection Premium, dan karenanya tidak tercakup oleh kepatuhan dan komitmen perlindungan data kami.
Pastikan Anda meninjau pernyataan privasi dan kepatuhan yang disediakan oleh pihak ketiga saat menilai penggunaan layanan ini yang sesuai untuk organisasi Anda.
Paritas dengan penawaran komersial premium Azure Information Protection
Untuk infomrasi tentang kesenjangan yang diketahui antara Azure Information Protection Premium GCC High/DoD dan penawaran komersial, lihat ketersediaan fitur Cloud untuk pelanggan Pemerintah AS untuk Perlindungan Informasi Azure.
Mengonfigurasi Perlindungan Informasi Azure untuk pelanggan GCC High dan DoD
Detail konfigurasi berikut relevan untuk semua solusi Perlindungan Informasi Azure untuk pelanggan GCC High dan DoD, termasuk solusi pelabelan terpadu.
- Mengaktifkan Manajemen Hak untuk penyewa
- Konfigurasi DNS untuk enkripsi (Windows)
- Konfigurasi DNS untuk enkripsi (Mac, iOS, Android)
- Migrasi label
- Konfigurasi aplikasi AIP
Penting
Pada pembaruan Juli 2020, semua pelanggan GCC High baru dari solusi pelabelan terpadu Perlindungan Informasi Azure, dapat menggunakan fitur menu Umum dan menu Pemindai saja.
Mengaktifkan Manajemen Hak untuk penyewa
Agar enkripsi berfungsi dengan benar, Layanan Manajemen Hak harus diaktifkan untuk penyewa.
- Periksa apakah layanan Manajemen Hak diaktifkan
- Meluncurkan PowerShell sebagai Administrator
- Jalankan
Install-Module aadrmjika modul AADRM tidak diinstal - Koneksi ke layanan menggunakan
Connect-aadrmservice -environmentname azureusgovernment - Jalankan
(Get-AadrmConfiguration).FunctionalStatedan periksa apakah statusnyaEnabled
- Jika status fungsional adalah
Disabled, jalankanEnable-Aadrm
Konfigurasi DNS untuk enkripsi (Windows)
Agar enkripsi berfungsi dengan benar, aplikasi klien Office harus terhubung ke instans GCC, GCC High/DoD dari layanan dan bootstrap dari sana. Untuk mengalihkan aplikasi klien ke instans layanan yang tepat, admin penyewa harus mengonfigurasi catatan DNS SRV dengan informasi tentang URL Azure RMS. Tanpa catatan DNS SRV, aplikasi klien akan mencoba terhubung ke instans cloud publik secara default, dan gagal.
Selain itu, asumsinya adalah bahwa pengguna akan masuk dengan nama pengguna berdasarkan domain milik penyewa (misalnya: joe@contoso.us), dan bukan nama pengguna onmicrosoft (misalnya: joe@contoso.onmicrosoft.us). Nama domain dari nama pengguna digunakan untuk pengalihan DNS ke instans layanan yang tepat.
- Mendapatkan ID Layanan Manajemen Hak
- Meluncurkan PowerShell sebagai Administrator
- Jika modul AADRM tidak diinstal, jalankan
Install-Module aadrm - Koneksi ke layanan menggunakan
Connect-aadrmservice -environmentname azureusgovernment - Jalankan
(Get-aadrmconfiguration).RightsManagementServiceIduntuk mendapatkan ID Layanan Manajemen Hak
- Masuk ke penyedia DNS Anda, dan navigasi ke pengaturan DNS untuk domain guna menambahkan catatan SRV baru
- Layanan =
_rmsredir - Protokol =
_http - Nama =
_tcp - Target =
[GUID].rms.aadrm.us(di mana GUID adalah ID Layanan Manajemen Hak) - Port =
80 - Prioritas, Berat, Detik, TTL = nilai default
- Layanan =
- Kaitkan domain kustom dengan penyewa di portal Azure. Mengaitkan domain kustom akan menambahkan entri di DNS, yang mungkin memakan waktu beberapa menit untuk memverifikasi setelah menambahkan nilai.
- Masuk ke Pusat Admin Office dengan kredensial admin global terkait dan tambahkan domain (misalnya: contoso.us) untuk pembuatan pengguna. Dalam proses verifikasi, beberapa perubahan DNS lainnya mungkin diperlukan. Setelah verifikasi selesai, pengguna dapat dibuat.
Konfigurasi DNS untuk enkripsi (Mac, iOS, Android)
- Masuk ke penyedia DNS Anda, dan navigasi ke pengaturan DNS untuk domain guna menambahkan catatan SRV baru
- Layanan =
_rmsdisco - Protokol =
_http - Nama =
_tcp - Target =
api.aadrm.us - Port =
80 - Prioritas, Berat, Detik, TTL = nilai default
- Layanan =
Migrasi label
Pelanggan GCC High dan DoD perlu memigrasikan semua label yang ada menggunakan PowerShell. Metode migrasi AIP tradisional tidak berlaku untuk pelanggan GCC High dan DoD.
Gunakan cmdlet New-Label untuk memigrasikan label sensitivitas yang ada. Pastikan untuk mengikuti instruksi untuk menyambungkan dan menjalankan cmdlet menggunakan Security & Compliance Center sebelum memulai migrasi Anda.
Contoh migrasi saat label sensitivitas yang ada memiliki enkripsi:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
Konfigurasi aplikasi AIP
Saat bekerja dengan klien Perlindungan Informasi Azure, Anda harus mengonfigurasi salah satu kunci registri berikut untuk mengarahkan aplikasi AIP Anda di Windows ke sovereign cloud yang benar. Pastikan untuk menggunakan nilai yang benar untuk penyiapan Anda.
Konfigurasi aplikasi AIP untuk klien pelabelan terpadu
Relevan untuk: Klien pelabelan terpadu AIP saja
| Simpul Registri | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Nama | CloudEnvType |
| Nilai | 0 = Komersial (default) 1 = GCC 2 = GCC Tinggi 3 = DoD |
| Jenis | REG_DWORD |
Catatan
- Jika kunci registri ini kosong, salah, atau hilang, perilaku kembali ke default (0 = Komersial).
- Jika kunci kosong atau salah, kesalahan cetak juga ditambahkan ke log.
- Pastikan untuk tidak menghapus kunci registri setelah menghapus instalasi.
Konfigurasi aplikasi AIP untuk klien klasik
Relevan untuk: Klien klasik AIP saja
| Simpul Registri | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Nama | WebServiceUrl |
| Nilai | https://api.informationprotection.azure.us |
| Jenis | REG_SZ (String) |
Firewall dan infrastruktur jaringan
Jika Anda memiliki firewall atau perangkat jaringan intervensi serupa yang dikonfigurasi untuk mengizinkan koneksi tertentu, gunakan pengaturan berikut untuk memastikan komunikasi yang lancar untuk Perlindungan Informasi Azure.
Koneksi klien-ke-layanan TLS: Jangan hentikan koneksi klien-ke-layanan TLS ke URL rms.aadrm.us (misalnya, untuk melakukan inspeksi tingkat paket).
Anda dapat menggunakan perintah PowerShell berikut untuk membantu Anda menentukan apakah koneksi klien Anda dihentikan sebelum mencapai layanan Azure Rights Management:
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerHasilnya harus menunjukkan bahwa CA penerbit berasal dari CA Microsoft, misalnya:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Jika Anda melihat nama CA penerbit yang bukan dari Microsoft, kemungkinan koneksi klien-ke-layanan aman Anda sedang dihentikan dan perlu dikonfigurasi ulang pada firewall Anda.Mengunduh label dan kebijakan label (hanya klien klasik AIP): Untuk mengaktifkan klien klasik Perlindungan Informasi Azure untuk mengunduh label dan kebijakan label, izinkan URL api.informationprotection.azure.us melalui HTTPS.
Untuk informasi selengkapnya, lihat:
Tag Layanan
Pastikan untuk mengizinkan akses ke semua port untuk Tag Layanan berikut:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend