Supporto di Azure Information Protection per Office 365 gestito da 21Vianet

Questo articolo illustra le differenze tra il supporto di Azure Information Protection (AIP) per Office 365 gestito da 21Vianet e offerte commerciali, nonché istruzioni specifiche per la configurazione di AIP per i clienti in Cina—, tra cui come installare lo scanner locale AIP e gestire i processi di analisi del contenuto.

Differenze tra AIP per Office 365 gestito da 21Vianet e offerte commerciali

Anche se l'obiettivo è fornire tutte le funzionalità e le funzionalità commerciali ai clienti in Cina con il nostro AIP per Office 365 gestito dall'offerta 21Vianet, ci sono alcune funzionalità mancanti che vorremmo evidenziare.

L'elenco seguente include le lacune esistenti tra AIP per Office 365 gestito da 21Vianet e le nostre offerte commerciali a partire da gennaio 2021:

  • La crittografia di Active Directory Rights Management Services (AD RMS) è supportata solo in Microsoft 365 Apps for enterprise (build 11731.10000 o successiva). Office Professional Plus non supporta AD RMS.

  • La migrazione da AD RMS ad AIP non è attualmente disponibile.

  • È supportata la condivisione di messaggi di posta elettronica protetti con gli utenti nel cloud commerciale.

  • La condivisione di documenti e allegati di posta elettronica con gli utenti nel cloud commerciale non è attualmente disponibile. Sono inclusi Office 365 gestiti da 21 utentiVianet nel cloud commerciale, non Office 365 gestiti da 21 Utenti diVianet nel cloud commerciale e utenti con una licenza RMS for Individuals.

  • IRM con SharePoint (siti e raccolte protetti da IRM) non è attualmente disponibile.

  • L'estensione per dispositivi mobili per AD RMS non è attualmente disponibile.

  • Il visualizzatore per dispositivi mobili non è supportato da Azure Cina 21Vianet.

  • L'area AIP del portale di Azure non è disponibile per i clienti in Cina. Usare i comandi di PowerShell invece di eseguire azioni nel portale, ad esempio la gestione e l'esecuzione dei processi di analisi del contenuto.

  • Gli endpoint AIP in Office 365 gestiti da 21Vianet sono diversi dagli endpoint necessari per altri servizi cloud. È necessaria la connettività di rete dai client agli endpoint seguenti:

    • Scaricare i criteri etichetta ed etichetta: *.protection.partner.outlook.cn
    • Servizio Azure Rights Management: *.aadrm.cn

Configurare AIP per i clienti in Cina

Per configurare AIP per i clienti in Cina:

  1. Abilitare Rights Management per il tenant.

  2. Aggiungere l'entità servizio di sincronizzazione Microsoft Information Protection.

  3. Configurare la crittografia DNS.

  4. Installare e configurare il client di etichettatura unificata AIP.

  5. Configurare le app AIP in Windows.

  6. Installare lo scanner locale AIP e gestire i processi di analisi del contenuto.

Passaggio 1: Abilitare Rights Management per il tenant

Per il corretto funzionamento della crittografia, È necessario abilitare RMS per il tenant.

  1. Controllare se RMS è abilitato:

    1. Avviare PowerShell come amministratore.
    2. Se il modulo AIPService non è installato, eseguire Install-Module AipService.
    3. Importare il modulo usando Import-Module AipService.
    4. Connettersi al servizio usando Connect-AipService -environmentname azurechinacloud.
    5. Eseguire (Get-AipServiceConfiguration).FunctionalState e controllare se lo stato è Enabled.
  2. Se lo stato funzionale è Disabled, eseguire Enable-AipService.

Passaggio 2: Aggiungere l'entità servizio di sincronizzazione Microsoft Information Protection

L'entità servizio di sincronizzazione Microsoft Information Protection non è disponibile nei tenant di Azure Cina per impostazione predefinita ed è necessaria per Azure Information Protection. Creare questa entità servizio manualmente tramite il modulo Azure Az PowerShell.

  1. Se il modulo Azure Az non è installato, installarlo o usare una risorsa in cui il modulo Azure Az viene preinstallato, ad esempio Azure Cloud Shell. Per altre informazioni, vedere Installare il modulo Azure Az PowerShell.

  2. Connettersi al servizio usando il cmdlet Connect-AzAccount e il nome dell'ambiente azurechinacloud :

    Connect-azaccount -environmentname azurechinacloud
    
  3. Creare manualmente l'entità servizio di sincronizzazione Microsoft Information Protection usando il cmdlet New-AzADServicePrincipal e l'ID 870c4f2e-85b6-4d43-bdda-6ed9a579b725 applicazione per il servizio di sincronizzazione Microsoft Purview Information Protection:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
    
  4. Dopo aver aggiunto l'entità servizio, aggiungere le autorizzazioni necessarie al servizio.

Passaggio 3: Configurare la crittografia DNS

Per il corretto funzionamento della crittografia, le applicazioni client di Office devono connettersi all'istanza cinese del servizio e eseguire il bootstrap da questa parte. Per reindirizzare le applicazioni client all'istanza del servizio corretta, l'amministratore del tenant deve configurare un record SRV DNS con informazioni sull'URL di Azure RMS. Senza il record SRV DNS, l'applicazione client tenterà di connettersi all'istanza del cloud pubblico per impostazione predefinita e avrà esito negativo.

Si presuppone inoltre che gli utenti esequilino con un nome utente basato sul dominio di proprietà del tenant (ad esempio , joe@contoso.cn) e non con il onmschina nome utente (ad esempio, joe@contoso.onmschina.cn). Il nome di dominio dal nome utente viene usato per il reindirizzamento DNS all'istanza del servizio corretta.

Configurare la crittografia DNS - Windows

  1. Ottenere l'ID RMS:

    1. Avviare PowerShell come amministratore.
    2. Se il modulo AIPService non è installato, eseguire Install-Module AipService.
    3. Connettersi al servizio usando Connect-AipService -environmentname azurechinacloud.
    4. Eseguire (Get-AipServiceConfiguration).RightsManagementServiceId per ottenere l'ID RMS.
  2. Accedere al provider DNS, passare alle impostazioni DNS per il dominio e quindi aggiungere un nuovo record SRV.

    • Servizio = _rmsredir
    • Protocol = _http
    • Nome = _tcp
    • Target = [GUID].rms.aadrm.cn (dove GUID è l'ID RMS)
    • Priorità, Peso, Secondi, TTL = valori predefiniti
  3. Associare il dominio personalizzato al tenant nel portale di Azure. Verrà aggiunta una voce in DNS, che potrebbe richiedere alcuni minuti per essere verificata dopo aver aggiunto il valore alle impostazioni DNS.

  4. Accedere al interfaccia di amministrazione di Microsoft 365 con le credenziali di amministratore globale corrispondenti e aggiungere il dominio ( ad esempio contoso.cn) per la creazione dell'utente. Nel processo di verifica potrebbero essere necessarie modifiche DNS aggiuntive. Al termine della verifica, è possibile creare gli utenti.

Configurare la crittografia DNS - Mac, iOS, Android

Accedere al provider DNS, passare alle impostazioni DNS per il dominio e quindi aggiungere un nuovo record SRV.

  • Servizio = _rmsdisco
  • Protocol = _http
  • Nome = _tcp
  • Destinazione = api.aadrm.cn
  • Porta = 80
  • Priorità, Peso, Secondi, TTL = valori predefiniti

Passaggio 4: Installare e configurare il client di etichettatura unificata AIP

Scaricare e installare il client di etichettatura unificata AIP dall'Area download Microsoft.

Per altre informazioni, vedere:

Passaggio 5: Configurare le app AIP in Windows

Per le app AIP in Windows è necessaria la chiave del Registro di sistema seguente per puntare al cloud sovrano corretto per Azure Cina:

  • Nodo del Registro di sistema = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Nome = CloudEnvType
  • Valore = 6 (predefinito = 0)
  • Tipo = REG_DWORD

Importante

Assicurarsi di non eliminare la chiave del Registro di sistema dopo una disinstallazione. Se la chiave è vuota, errata o inesistente, la funzionalità si comporterà come valore predefinito (valore predefinito = 0 per il cloud commerciale). Se la chiave è vuota o non corretta, viene aggiunto anche un errore di stampa al log.

Passaggio 6: Installare lo scanner AIP locale e gestire i processi di analisi del contenuto

Installare lo scanner locale AIP per analizzare la rete e le condivisioni di contenuto per individuare i dati sensibili e applicare le etichette di classificazione e protezione configurate nei criteri dell'organizzazione.

Quando si configurano e gestiscono i processi di analisi del contenuto, usare la procedura seguente anziché l'interfaccia portale di Azure usata dalle offerte commerciali.

Per altre informazioni, vedere Informazioni sullo scanner di etichettatura unificata di Azure Information Protection e Gestire i processi di analisi del contenuto solo con PowerShell.

Per installare e configurare lo scanner:

  1. Accedere al computer Windows Server che eseguirà lo scanner. Usare un account con diritti di amministratore locale e con autorizzazioni di scrittura nel database master SQL Server.

  2. Iniziare con PowerShell chiuso. Se in precedenza è stato installato il client E lo scanner AIP, assicurarsi che il servizio AIPScanner sia stato arrestato.

  3. Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore.

  4. Eseguire il cmdlet Install-AIPScanner, specificando l'istanza di SQL Server in cui creare un database per lo scanner Information Protection di Azure e un nome significativo per il cluster dello scanner.

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Suggerimento

    È possibile usare lo stesso nome del cluster nel comando Install-AIPScanner per associare più nodi scanner allo stesso cluster. L'uso dello stesso cluster per più nodi scanner consente a più scanner di lavorare insieme per eseguire le analisi.

  5. Verificare che il servizio sia ora installato tramite Servizi strumenti > di amministrazione .

    Il servizio installato è denominato Azure Information Protection Scanner ed è configurato per l'esecuzione usando l'account del servizio scanner creato.

  6. Ottenere un token di Azure da usare con lo scanner. Un token di Azure AD consente allo scanner di eseguire l'autenticazione nel servizio azure Information Protection, consentendo l'esecuzione dello scanner in modo non interattivo.

    1. Aprire il portale di Azure e creare un'applicazione Azure AD per specificare un token di accesso per l'autenticazione. Per altre informazioni, vedere Come etichettare i file in modo non interattivo per Azure Information Protection.

      Suggerimento

      Quando si creano e si configurano applicazioni di Azure AD per il comando Set-AIPAuthentication , nel riquadro Richiedi autorizzazioni API vengono visualizzate le API usate dall'organizzazione anziché la scheda API Microsoft . Selezionare le API usate dall'organizzazione per selezionare Azure Rights Management Services.

    2. Dal computer Windows Server, se all'account del servizio scanner è stato concesso il diritto di accesso locale per l'installazione, accedere con questo account e avviare una sessione di PowerShell.

      Se all'account del servizio scanner non è possibile concedere il diritto di accesso in locale per l'installazione, usare il parametro OnBehalfOf con Set-AIPAuthentication, come descritto in Come etichettare i file in modo non interattivo per Azure Information Protection.

    3. Eseguire Set-AIPAuthentication, specificando i valori copiati dall'applicazione Azure AD:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Ad esempio:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Lo scanner dispone ora di un token per l'autenticazione in Azure AD. Questo token è valido per un anno, due anni o mai, in base alla configurazione del segreto client app Web/API in Azure AD. Quando il token scade, è necessario ripetere questa procedura.

  7. Eseguire il cmdlet Set-AIPScannerConfiguration per impostare lo scanner per il funzionamento in modalità offline. Correre:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  8. Eseguire il cmdlet Set-AIPScannerContentScanJob per creare un processo di analisi del contenuto predefinito.

    L'unico parametro obbligatorio nel cmdlet Set-AIPScannerContentScanJob è Enforce. Tuttavia, è possibile definire altre impostazioni per il processo di analisi del contenuto in questo momento. Ad esempio:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    La sintassi precedente configura le impostazioni seguenti mentre si continua la configurazione:

    • Mantiene manuale la pianificazione dell'esecuzione dello scanner
    • Imposta i tipi di informazioni da individuare in base ai criteri di etichettatura di riservatezza
    • Non applica criteri di etichettatura di riservatezza
    • Etichetta automaticamente i file in base al contenuto, usando l'etichetta predefinita definita per i criteri di etichettatura di riservatezza
    • Non consente la rietichettazione dei file
    • Mantiene i dettagli dei file durante l'analisi e l'etichettatura automatica, inclusa la data modificata, l'ultima modifica e la modifica in base ai valori
    • Imposta lo scanner per escludere i file con estensione msg e tmp durante l'esecuzione
    • Imposta il proprietario predefinito sull'account che si vuole usare quando si esegue lo scanner
  9. Usare il cmdlet Add-AIPScannerRepository per definire i repository da analizzare nel processo di analisi del contenuto. Ad esempio, eseguire:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Usare una delle sintassi seguenti, a seconda del tipo di repository che si sta aggiungendo:

    • Per una condivisione di rete, usare \\Server\Folder.
    • Per una raccolta di SharePoint, usare http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Per un percorso locale: C:\Folder
    • Per un percorso UNC: \\Server\Folder

    Nota

    I caratteri jolly non sono supportati e i percorsi WebDav non sono supportati.

    Per modificare il repository in un secondo momento, usare invece il cmdlet Set-AIPScannerRepository .

Continuare con i passaggi seguenti in base alle esigenze:

Nella tabella seguente sono elencati i cmdlet di PowerShell rilevanti per l'installazione dello scanner e la gestione dei processi di analisi del contenuto:

Cmdlet Descrizione
Add-AIPScannerRepository Aggiunge un nuovo repository al processo di analisi del contenuto.
Get-AIPScannerConfiguration Restituisce i dettagli sul cluster.
Get-AIPScannerContentScanJob Ottiene i dettagli sul processo di analisi del contenuto.
Get-AIPScannerRepository Ottiene i dettagli sui repository definiti per il processo di analisi del contenuto.
Remove-AIPScannerContentScanJob Elimina il processo di analisi del contenuto.
Remove-AIPScannerRepository Rimuove un repository dal processo di analisi del contenuto.
Set-AIPScannerContentScanJob Definisce le impostazioni per il processo di analisi del contenuto.
Set-AIPScannerRepository Definisce le impostazioni per un repository esistente nel processo di analisi del contenuto.

Per altre informazioni, vedere: