Dukungan Perlindungan Informasi Azure untuk Office 365 yang dioperasikan oleh 21Vianet

Artikel ini membahas perbedaan antara dukungan Azure Information Protection (AIP) untuk Office 365 yang dioperasikan oleh 21Vianet dan penawaran komersial, serta instruksi khusus untuk mengonfigurasi AIP untuk pelanggan di Tiongkok—termasuk cara menginstal pemindai perlindungan informasi dan mengelola pekerjaan pemindaian konten.

Perbedaan antara AIP untuk Office 365 yang dioperasikan oleh 21Vianet dan penawaran komersial

Meskipun tujuan kami adalah untuk memberikan semua fitur dan fungsionalitas komersial kepada pelanggan di Tiongkok dengan AIP kami untuk Office 365 yang dioperasikan oleh penawaran 21Vianet, ada beberapa fungsionalitas yang hilang yang ingin kami sorot.

Berikut ini adalah daftar kesenjangan antara AIP untuk Office 365 yang dioperasikan oleh 21Vianet dan penawaran komersial kami:

• enkripsi Layanan Active Directory Rights Management (AD RMS) hanya didukung di Aplikasi Microsoft 365 untuk perusahaan (build 11731.10000 atau yang lebih baru). Office Profesional Plus tidak mendukung AD RMS.

• Migrasi dari AD RMS ke AIP saat ini tidak tersedia.

• Berbagi email yang dilindungi dengan pengguna di cloud komersial didukung.

• Berbagi dokumen dan lampiran email dengan pengguna di cloud komersial saat ini tidak tersedia. Ini termasuk Office 365 yang dioperasikan oleh 21Vianet pengguna di cloud komersial, non-Office 365 yang dioperasikan oleh 21Vianet pengguna di cloud komersial, dan pengguna dengan lisensi RMS for Individuals.

• IRM dengan SharePoint (situs dan pustaka yang dilindungi IRM) saat ini tidak tersedia.

• Ekstensi Perangkat Seluler untuk AD RMS saat ini tidak tersedia.

• Penampil Seluler tidak didukung oleh Azure China 21Vianet.

• Area pemindai portal kepatuhan tidak tersedia untuk pelanggan di Tiongkok. Gunakan perintah PowerShell alih-alih melakukan tindakan di portal, seperti mengelola dan menjalankan pekerjaan pemindaian konten Anda.

• Titik akhir AIP di Office 365 yang dioperasikan oleh 21Vianet berbeda dari titik akhir yang diperlukan untuk layanan cloud lainnya. Konektivitas jaringan dari klien ke titik akhir berikut diperlukan:

  • Unduh label dan kebijakan label: *.protection.partner.outlook.cn
  • Layanan Azure Rights Management: *.aadrm.cn

• Pelacakan Dokumen dan Pencabutan oleh pengguna saat ini tidak tersedia.

Mengonfigurasi AIP untuk pelanggan di Tiongkok

Untuk mengonfigurasi AIP untuk pelanggan di Tiongkok:

1. Aktifkan Manajemen Hak untuk penyewa.

2. Tambahkan perwakilan layanan Microsoft Information Protection Sync Service.

3. Mengonfigurasi enkripsi DNS.

4. Instal dan konfigurasikan klien pelabelan terpadu AIP.

5. Mengonfigurasi aplikasi AIP di Windows.

6. Instal pemindai perlindungan informasi dan kelola pekerjaan pemindaian konten.

Langkah 1: Aktifkan Manajemen Hak untuk penyewa

Agar enkripsi berfungsi dengan benar, RMS harus diaktifkan untuk penyewa.

1. Periksa apakah RMS diaktifkan:

   1. Luncurkan PowerShell sebagai administrator.
   2. Jika modul AIPService tidak diinstal, jalankan Install-Module AipService.
   3. Impor modul menggunakan Import-Module AipService.
   4. Koneksi ke layanan menggunakan Connect-AipService -environmentname azurechinacloud.
   5. Jalankan (Get-AipServiceConfiguration).FunctionalState dan periksa apakah statusnya adalah Enabled.

2. Jika status fungsional adalah Disabled, jalankan Enable-AipService.

Langkah 2: Tambahkan perwakilan layanan Layanan Sinkronisasi Perlindungan Informasi Microsoft

Perwakilan layanan Microsoft Information Protection Sync Service tidak tersedia di penyewa Azure Tiongkok secara default, dan diperlukan untuk Perlindungan Informasi Azure. Buat perwakilan layanan ini secara manual melalui modul Azure Az PowerShell.

1. Jika Anda tidak menginstal modul Azure Az, instal atau gunakan sumber daya tempat modul Azure Az diinstal sebelumnya, seperti Azure Cloud Shell. Untuk informasi selengkapnya, lihat Menginstal modul Azure PowerShell.

2. Koneksi ke layanan menggunakan cmdlet Koneksi-AzAccount dan azurechinacloud nama lingkungan:

   Connect-azaccount -environmentname azurechinacloud
   

3. Buat perwakilan layanan Microsoft Information Protection Sync Service secara manual menggunakan cmdlet New-AzADServicePrincipal dan 870c4f2e-85b6-4d43-bdda-6ed9a579b725 ID aplikasi untuk layanan sinkronisasi Perlindungan Informasi Microsoft Purview:

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. Setelah menambahkan perwakilan layanan, tambahkan izin relevan yang diperlukan ke layanan.

Langkah 3: Mengonfigurasi enkripsi DNS

Agar enkripsi berfungsi dengan benar, aplikasi klien Office harus terhubung ke instans layanan tiongkok dan bootstrap dari sana. Untuk mengalihkan aplikasi klien ke instans layanan yang tepat, admin penyewa harus mengonfigurasi catatan DNS SRV dengan informasi tentang URL Azure RMS. Tanpa catatan DNS SRV, aplikasi klien akan mencoba menyambungkan ke instans cloud publik secara default dan akan gagal.

Selain itu, asumsinya adalah bahwa pengguna akan masuk dengan nama pengguna berdasarkan domain milik penyewa (misalnya, joe@contoso.cn), dan bukan onmschina nama pengguna (misalnya, joe@contoso.onmschina.cn). Nama domain dari nama pengguna digunakan untuk pengalihan DNS ke instans layanan yang benar.

Mengonfigurasi enkripsi DNS - Windows

1. Dapatkan ID RMS:

   1. Luncurkan PowerShell sebagai administrator.
   2. Jika modul AIPService tidak diinstal, jalankan Install-Module AipService.
   3. Koneksi ke layanan menggunakan Connect-AipService -environmentname azurechinacloud.
   4. Jalankan (Get-AipServiceConfiguration).RightsManagementServiceId untuk mendapatkan ID RMS.

2. Masuk ke penyedia DNS Anda, navigasikan ke pengaturan DNS untuk domain tersebut, lalu tambahkan catatan SRV baru.

   • Layanan = _rmsredir
   • Protokol = _http
   • Nama = _tcp
   • Target = [GUID].rms.aadrm.cn (di mana GUID adalah ID RMS)
   • Prioritas, Berat, Detik, TTL = nilai default

3. Kaitkan domain kustom dengan penyewa di portal Azure. Ini akan menambahkan entri di DNS, yang mungkin memakan waktu beberapa menit untuk diverifikasi setelah Anda menambahkan nilai ke pengaturan DNS.

4. Masuk ke pusat admin Microsoft 365 dengan kredensial admin global yang sesuai dan tambahkan domain (misalnya, contoso.cn) untuk pembuatan pengguna. Dalam proses verifikasi, perubahan DNS tambahan mungkin diperlukan. Setelah verifikasi selesai, pengguna dapat dibuat.

Mengonfigurasi enkripsi DNS - Mac, iOS, Android

Masuk ke penyedia DNS Anda, navigasikan ke pengaturan DNS untuk domain tersebut, lalu tambahkan catatan SRV baru.

• Layanan = _rmsdisco
• Protokol = _http
• Nama = _tcp
• Target = api.aadrm.cn
• Port = 80
• Prioritas, Berat, Detik, TTL = nilai default

Langkah 4: Menginstal dan mengonfigurasi klien pelabelan terpadu AIP

Unduh dan instal klien pelabelan terpadu AIP dari Pusat Unduhan Microsoft.

Untuk informasi selengkapnya, lihat:

• Dokumentasi AIP
• Riwayat versi AIP dan kebijakan dukungan
• Persyaratan sistem AIP
• Mulai cepat AIP: Menyebarkan klien AIP
• Panduan administrator AIP
• Panduan pengguna AIP
• Pelajari tentang label sensitivitas

Langkah 5: Mengonfigurasi aplikasi AIP di Windows

Aplikasi AIP di Windows memerlukan kunci registri berikut untuk mengarahkannya ke sovereign cloud yang benar untuk Azure Tiongkok:

• Simpul registri = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Nama = CloudEnvType
• Nilai = 6 (default = 0)
• Jenis = REG_DWORD

Penting

Pastikan Anda tidak menghapus kunci registri setelah penghapusan instalasi. Jika kunci kosong, salah, atau tidak ada, fungsionalitas akan bertingkah sebagai nilai default (nilai default = 0 untuk cloud komersial). Jika kunci kosong atau salah, kesalahan cetak juga ditambahkan ke log.

Langkah 6: Instal pemindai perlindungan informasi dan kelola pekerjaan pemindaian konten

Instal pemindai Perlindungan Informasi Microsoft Purview untuk memindai berbagi jaringan dan konten Anda untuk data sensitif, dan terapkan label klasifikasi dan perlindungan seperti yang dikonfigurasi dalam kebijakan organisasi Anda.

Saat mengonfigurasi dan mengelola pekerjaan pemindaian konten Anda, gunakan prosedur berikut alih-alih portal kepatuhan Microsoft Purview yang digunakan oleh penawaran komersial.

Untuk informasi selengkapnya, lihat Mempelajari tentang pemindai perlindungan informasi dan Mengelola pekerjaan pemindaian konten Anda hanya menggunakan PowerShell.

Untuk menginstal dan mengonfigurasi pemindai Anda:

1. Masuk ke komputer Windows Server yang akan menjalankan pemindai. Gunakan akun yang memiliki hak administrator lokal dan yang memiliki izin untuk menulis ke database master SQL Server.

2. Mulailah dengan PowerShell tertutup. Jika sebelumnya Anda telah menginstal klien dan pemindai AIP, pastikan bahwa layanan AIPScanner dihentikan.

3. Buka sesi Windows PowerShell dengan opsi Jalankan sebagai administrator .

4. Jalankan cmdlet Install-AIPScanner , tentukan instans SQL Server Anda untuk membuat database untuk pemindai Perlindungan Informasi Azure, dan nama yang bermakna untuk kluster pemindai Anda.

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Tip

   Anda dapat menggunakan nama kluster yang sama dalam perintah Install-AIPScanner untuk mengaitkan beberapa node pemindai ke kluster yang sama. Menggunakan kluster yang sama untuk beberapa simpul pemindai memungkinkan beberapa pemindai bekerja sama untuk melakukan pemindaian Anda.

5. Verifikasi bahwa layanan sekarang diinstal dengan menggunakan Layanan Alat> Administratif.

   Layanan yang diinstal bernama Azure Information Protection Scanner dan dikonfigurasi untuk dijalankan dengan menggunakan akun layanan pemindai yang Anda buat.

6. Dapatkan token Azure untuk digunakan dengan pemindai Anda. Token Microsoft Entra memungkinkan pemindai untuk mengautentikasi ke layanan Perlindungan Informasi Azure, memungkinkan pemindai berjalan secara non-interaktif.

   1. Buka portal Azure dan buat aplikasi Microsoft Entra untuk menentukan token akses untuk autentikasi. Untuk informasi selengkapnya, lihat Cara memberi label file secara non-interaktif untuk Perlindungan Informasi Azure.

      Tip

      Saat membuat dan mengonfigurasi aplikasi Microsoft Entra untuk perintah Set-AIPAuthentication , panel Minta izin API memperlihatkan tab API yang digunakan organisasi saya alih-alih tab API Microsoft. Pilih API yang digunakan organisasi saya untuk kemudian memilih Azure Rights Management Services.

   2. Dari komputer Windows Server, jika akun layanan pemindai Anda telah diberikan hak Masuk secara lokal untuk penginstalan, masuk dengan akun ini dan mulai sesi PowerShell.

      Jika akun layanan pemindai Anda tidak dapat diberikan hak Masuk secara lokal untuk penginstalan, gunakan parameter OnBehalfOf dengan Set-AIPAuthentication, seperti yang dijelaskan dalam Cara memberi label file secara non-interaktif untuk Perlindungan Informasi Azure.

   3. Jalankan Set-AIPAuthentication, menentukan nilai yang disalin dari aplikasi Microsoft Entra Anda:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Contohnya:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Pemindai sekarang memiliki token untuk mengautentikasi ke ID Microsoft Entra. Token ini berlaku selama satu tahun, dua tahun, atau tidak pernah, sesuai dengan konfigurasi rahasia klien Aplikasi web /API Anda di ID Microsoft Entra. Ketika token kedaluwarsa, Anda harus mengulangi prosedur ini.

7. Jalankan cmdlet Set-AIPScannerConfiguration untuk mengatur pemindai agar berfungsi dalam mode offline. Jalankan:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Jalankan cmdlet Set-AIPScannerContentScanJob untuk membuat pekerjaan pemindaian konten default.

   Satu-satunya parameter yang diperlukan dalam cmdlet Set-AIPScannerContentScanJob adalah Terapkan. Namun, Anda mungkin ingin menentukan pengaturan lain untuk pekerjaan pemindaian konten Anda saat ini. Contohnya:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   Sintaks di atas mengonfigurasi pengaturan berikut saat Anda melanjutkan konfigurasi:

   • Menjaga pemindai tetap menjalankan penjadwalan ke manual
   • Mengatur jenis informasi yang akan ditemukan berdasarkan kebijakan pelabelan sensitivitas
   • Tidak menerapkan kebijakan pelabelan sensitivitas
   • Secara otomatis melabeli file berdasarkan konten, menggunakan label default yang ditentukan untuk kebijakan pelabelan sensitivitas
   • Tidak memperbolehkan pelabelan ulang file
   • Mempertahankan detail file saat memindai dan pelabelan otomatis, termasuk tanggal dimodifikasi, terakhir dimodifikasi, dan dimodifikasi berdasarkan nilai
   • Mengatur pemindai untuk mengecualikan file .msg dan .tmp saat berjalan
   • Mengatur pemilik default ke akun yang ingin Anda gunakan saat menjalankan pemindai

9. Gunakan cmdlet Add-AIPScannerRepository untuk menentukan repositori yang ingin Anda pindai dalam pekerjaan pemindaian konten Anda. Sebagai contoh, jalankan:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Gunakan salah satu sintaks berikut, tergantung pada jenis repositori yang Anda tambahkan:

   • Untuk berbagi jaringan, gunakan \\Server\Folder.
   • Untuk pustaka SharePoint, gunakan http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Untuk jalur lokal: C:\Folder
   • Untuk jalur UNC: \\Server\Folder

   Catatan

   Kartubebas tidak didukung dan lokasi WebDav tidak didukung.

   Untuk mengubah repositori nanti, gunakan cmdlet Set-AIPScannerRepository sebagai gantinya.

Lanjutkan dengan langkah-langkah berikut sesuai kebutuhan:

• Menjalankan siklus penemuan dan melihat laporan untuk pemindai
• Menggunakan PowerShell untuk mengonfigurasi pemindai untuk menerapkan klasifikasi dan perlindungan
• Menggunakan PowerShell untuk mengonfigurasi kebijakan DLP dengan pemindai

Tabel berikut ini mencantumkan cmdlet PowerShell yang relevan untuk menginstal pemindai dan mengelola pekerjaan pemindaian konten Anda:

Cmdlet	Deskripsi
Add-AIPScannerRepository	Menambahkan repositori baru ke pekerjaan pemindaian konten Anda.
Get-AIPScannerConfiguration	Mengembalikan detail tentang kluster Anda.
Get-AIPScannerContentScanJob	Mendapatkan detail tentang pekerjaan pemindaian konten Anda.
Get-AIPScannerRepository	Mendapatkan detail tentang repositori yang ditentukan untuk pekerjaan pemindaian konten Anda.
Remove-AIPScannerContentScanJob	Menghapus pekerjaan pemindaian konten Anda.
Remove-AIPScannerRepository	Menghapus repositori dari pekerjaan pemindaian konten Anda.
Set-AIPScannerContentScanJob	Menentukan pengaturan untuk pekerjaan pemindaian konten Anda.
Set-AIPScannerRepository	Menentukan pengaturan untuk repositori yang ada dalam pekerjaan pemindaian konten Anda.

Untuk informasi selengkapnya, lihat:

• Pelajari tentang pemindai perlindungan informasi
• Mengonfigurasi dan menginstal pemindai perlindungan informasi
• Mengelola pekerjaan pemindaian konten Anda hanya menggunakan PowerShell