21Vianet が運営する Office 365 用 Microsoft Purview Information Protection
この記事では、21Vianet が運営する Office 365 用 Microsoft Purview Information Protection サポートと、以前はAzure Information Protection (AIP) と呼ばれていたオファーに限定された商用オファーの違い、および情報保護スキャナーのインストール方法やコンテンツ スキャン ジョブの管理方法など、中国のお客様向けの特定の構成手順について説明します。
21Vianet と商用オファーの違い
弊社は、21Vianet オファーが運営する Office 365 用 Microsoft Purview Information Protection サポートを使用して中国のお客様にすべての商用機能と機能を提供することを目標としていますが、一部の機能は提供されておりません。
Active Directory Rights Management サービス (AD RMS) 暗号化は、Microsoft 365 Apps for enterprise (ビルド 11731.10000 以降) でのみサポートされます。 Office Professional Plus は AD RMS をサポートしません。
AD RMS から AIP への移行は現在利用できません。
商用クラウド内のユーザーと保護された電子メールの共有がサポートされています。
商用クラウド内のユーザーとのドキュメントと電子メールの添付ファイルの共有は現在利用できません。 これには、商用クラウドの 21Vianet ユーザーが運営する Office 365、商用クラウドの 21Vianet ユーザーが運営する 非Office 365 、RMS 用にIndividuals ライセンスを持つユーザーが含まれます。
SharePoint (IRM で保護されたサイトとライブラリ)を使用したIRM は現在使用できません。
AD RMS 用のモバイル デバイス拡張は現在利用できません。
モバイル ビューアーは、Azure China 21Vianet によってサポートされていません。
コンプライアンス ポータルのスキャナーエリアは、中国のお客様には利用できません。 コンテンツ スキャン ジョブの管理や実行など、ポータルでアクションを実行する代わりにPowerShell コマンドを利用してください。
21Vianet 環境内の Microsoft Purview Information Protection クライアントのネットワーク エンドポイントは、他のクラウド サービスに必要なエンドポイントとは異なります。 クライアントから次のエンドポイントへのネットワーク接続が必要です。
- ラベルとラベルポリシーをダウンロードします:
*.protection.partner.outlook.cn
- Azure Rights Management サービス:
*.aadrm.cn
- ラベルとラベルポリシーをダウンロードします:
ユーザーによるドキュメント追跡と失効は現在利用できません。
21Vianet のお客様向けの構成
21Vianet が運営する Office 365 用 Microsoft Purview Information Protection サポートを構成するには:
Microsoft Information Protection Sync Service サービス プリンシパルを追加する
DNS 暗号化を設定します。
Microsoft Purview Information Protection クライアントをインストールして構成します。
手順1:テナントの Rights Management を有効にする
暗号化が正しく機能するためには、テナントに対して Rights Management サービス (RMS) を有効にする必要があります。
RMS が有効になっているかどうかを確認する。
- PowerShellを管理者として起動します。
- AIPService モジュールがインストールされていない場合は、実行します
Install-Module AipService
。 - 使用している
Import-Module AipService
モジュールをインポートする。 Connect-AipService -environmentname azurechinacloud
使用しているサービスに接続するEnabled
状態があるかどうかを実行して(Get-AipServiceConfiguration).FunctionalState
確認します。
機能状態が
Disabled
の場合、Enable-AipService
実行します。
手順 2: Microsoft Information Protection Sync Service サービス プリンシパルを追加する
Microsoft Information Protection Sync Service サービス プリンシパルは、既定では Azure China テナントで使用できなく、Azure Information Protection に必要です。 Azure Az PowerShell モジュールを通じてこのサービス プリンシパルを手動で作成します。
Azure Az モジュールがインストールされていない場合は、インストールするか、Azure Cloud Shell などの Azure Az モジュールがプレインストールされているリソースを利用します。 詳細については、「Azure Az PowerShell モジュールをインストールする」を参照してください。
Connect-AzAccount コマンドレットと環境名を使用してサービスに
azurechinacloud
接続します。Connect-azaccount -environmentname azurechinacloud
New-AzADServicePrincipal コマンドレットと
870c4f2e-85b6-4d43-bdda-6ed9a579b725
Microsoft Purview Information Protection Sync Service用にアプリケーション ID を使用して、Microsoft Information Protection Sync Service サービス プリンシパルを手動で作成します。New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
サービス プリンシパルを追加した後、サービスに必要な関連するアクセス許可を追加します。
手順 3: DNS 暗号化を設定する
暗号化が正しく機能するためには、Office クライアント アプリケーションは、サービスの 中国 インスタンスに接続し、そこから起動する必要があります。 クライアント アプリケーションを適切なサービス インスタンスにリダイレクトするには、テナント管理者が、Azure RMS URL に関する情報を含む DNS SRV レコードを構成する必要があります。 DNS SRV レコードがない場合、クライアント アプリケーションは既定でパブリック クラウド インスタンスへの接続を試行し、失敗します。
また、ユーザーは ユーザー名 (例: joe@contoso.onmschina.cn
) ではなく onmschina
、テナント所有の ドメイン (例: joe@contoso.cn
) に基づいてユーザー名でログインすることを前提としています。 ユーザー名からのドメイン名は、適切なサービス インスタンスへの DNS リダイレクトに使用されます。
DNS 暗号化の構成 - Windows
RMS ID を取得する:
- PowerShellを管理者として起動します。
- AIPService モジュールがインストールされていない場合は、実行します
Install-Module AipService
。 Connect-AipService -environmentname azurechinacloud
使用しているサービスに接続する- RMS ID を取得するために実行
(Get-AipServiceConfiguration).RightsManagementServiceId
します。
DNS プロバイダーにログインし、ドメインの DNS 設定に移動し、新しい SRV レコードを追加する
- サービス =
_rmsredir
- プロトコル =
_http
- 名前 =
_tcp
- ターゲット =
[GUID].rms.aadrm.cn
(GUID は RMS IDである場合) - Priority、Weight、Seconds、TTL = 既定値
- サービス =
Custom Domain を Azure Portal のテナントに関連付けます。 これにより DNS にエントリが追加されますが、DNS 設定に値を追加した後、検証に数分かかる場合があります。
対応するグローバル管理者の資格情報を使用して Microsoft 365 管理 センターにログインし、ユーザーの作成にドメイン (例:
contoso.cn
) を追加します。 検証プロセスでは、追加のDNS 変更が必要になる場合があります。 検証が完了したら、ユーザーを作成できます。
DNS 暗号化の構成 - Mac、iOS、Android
DNS プロバイダーにログインし、ドメインの DNS 設定に移動し、新しい SRV レコードを追加する
- サービス =
_rmsdisco
- プロトコル =
_http
- 名前 =
_tcp
- 移行先 =
api.aadrm.cn
- ポート =
80
- Priority、Weight、Seconds、TTL = 既定値
手順 4: ラベル付けクライアントをインストールして構成します
Microsoft Download Center から Microsoft Purview Information Protection クライアントをダウンロードしてインストールします。
詳細については、以下を参照してください:
手順 5: Windows の設定を構成します
Windows は、Azure China 向けの正しい Sovereign Cloud を指すように、認証に以下のレジストリ キーを必要とします。
- レジストリ ノード=
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- 名前 =
CloudEnvType
- 値=
6
(既定値 = 0) - 種類 =
REG_DWORD
重要
アンインストール後にレジストリ キーを削除しないことを確認してください。 キーが空白、正しくない、または存在しない場合、機能は既定値 (商用クラウドの場合は既定値 = 0) として動作します。 キーが空または正しくない場合は、印刷エラーもログに追加されます。
手順 6: 情報保護スキャナーをインストールし、コンテンツ スキャン ジョブを管理する
Microsoft Purview情報保護スキャナーをインストールしてネットワークとコンテンツ共有の機密データをスキャンし、組織のポリシーで構成されている分類と保護のラベルを適用します。
コンテンツ スキャン ジョブを設定および管理する場合は、商用オファリングで使用されるMicrosoft Purview コンプライアンス ポータルの代わりに、次の手順を利用します。
詳細については、「 情報保護スキャナー について」および 「PowerShell のみを使用しているコンテンツ スキャン ジョブを管理する」を参照してください。
スキャナーを設定してインストールするには:
スキャナーを実行する Windows Server コンピュータにサインインします。 ローカル管理者権限と SQL Server マスターデータベースへの書き込みアクセス許可を持つアカウントを使用します。
PowerShell が閉じた状態で開始します。 情報保護スキャナーを既にインストールしている場合は、Microsoft Purview Information Protection Scanner サービスが停止していることを確認します。
[管理者として実行] オプションを使用して Windows PowerShell セッションを開きます。
Install-Scanner cmdlet を実行して、Microsoft Purview Information Protection スキャナ用のデータベースを作成する SQL Server インスタンスとスキャナクラスタに意味のある名前を指定します。
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
ヒント
Install-Scanner コマンドで同じクラスター名を使用すると、複数のスキャナー ノードを同じクラスターに関連付けることができます。 複数のスキャナー ノードに同じクラスターを使用すると、複数のスキャナーが連携してスキャンを実行できます。
[管理ツール] > [サービス] の順に使用して、サービスがインストールされていることを確認します。
インストールされているサービスの名前は Microsoft Purview Information Protection スキャナーで、作成したスキャナー サービス アカウントを使用して実行するように構成されます。
スキャナーで使用する Azure トークンを取得します。 Microsoft Entra トークンを使用すると、スキャナーを Azure Information Protection サービスに認証できるようになり、スキャナーが非対話形式で実行されるようになります。
Azure portal を開き、認証用のアクセス トークンを指定するための Microsoft Entra アプリケーションを作成します。 詳細については、「Azure Information Protection のために非対話形式でファイルにラベルを付ける方法」を参照してください。
ヒント
Set-Authentication コマンド用に Microsoft Entra アプリケーションを作成して構成する場合、[API のアクセス許可の要求] ペインには、[Microsoft API] タブの代わりに [自分の組織が使用する AIP] タブが表示されます。[自分の組織が使用する AIP] を選択して、[Azure Rights Management サービス] を選択します。
スキャナーのサービス アカウントにインストール用にローカルでログオン権限が付与されている場合、Windows Server コンピューターから、このアカウントを使用してサインインし、PowerShell セッションを開始します。
インストールのためのローカルでログオン権限をスキャナー サービス アカウントに付与できない場合は、「非対話形式でファイルに Azure Information Protection のラベル付けをする方法」で説明されているように、Set-Authentication で OnBehalfOf パラメーターを使用します。
Microsoft Entra アプリケーションからコピーした値を指定して、Set-Authentication を実行します。
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
次に例を示します。
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
スキャナーには、Microsoft Entra ID を認証するトークンがあります。 このトークンは、 Microsoft Entra ID でWeb アプリ/API クライアント シークレットの構成に従って、1 年間、2 年間、または無期限で有効です。 トークンの有効期限が切れた場合は、この手順を繰り返す必要があります。
Set-ScannerConfiguration cmdlet を実行してスキャナーをオフライン モードで機能するように設定します。 実行 (Run):
Set-ScannerConfiguration -OnlineConfiguration Off
Set-ScannerContentScanJob cmdlet を実行して、既定のコンテンツ スキャン ジョブを作成します。
Set-ScannerContentScanJob cmdlet の必須パラメーターは、[Enforce] のみです。 ただし、この時点でコンテンツ スキャン ジョブの他の設定を定義することもできます。 次に例を示します。
Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
上記の構文では、構成を続行している間に次の設定が構成されます。
- スキャナーの実行スケジュールを手動のままにします
- 機密ラベル付けポリシーに基づいて検出される情報の種類を設定します
- 機密ラベル付けポリシーを適用しません
- 機密ラベル付けポリシーに定義されている既定のラベルを使用して、コンテンツに基づいてファイルに自動的にラベルを付けます
- ファイルのラベルを書き換えることはできません
- スキャン時および自動ラベル付け中にファイルの詳細を保持します。これには変更日、最終変更日時、変更者などが含まれます。
- 実行時に .msg および .tmp ファイルを除外するようにスキャナーを設定します
- スキャナーを実行するときに使用するアカウントに既定の所有者を設定します
Add-ScannerRepository cmdlet を使用して、コンテンツ スキャン ジョブでスキャンするリポジトリを定義します。 たとえば、以下を実行します。
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
追加するリポジトリの種類に応じて、次のいずれかの構文を使用します。
- ネットワーク共有の場合は、
\\Server\Folder
を使用します。 - SharePoint ライブラリの場合は、
http://sharepoint.contoso.com/Shared%20Documents/Folder
を使用します。 - ローカル パスの場合:
C:\Folder
- UNC パスの場合:
\\Server\Folder
Note
Wildcards はサポートされておらず、WebDav の場所はサポートされていません。
後でリポジトリを変更するには、代わりに Set-ScannerRepository cmdlet を使用します。
- ネットワーク共有の場合は、
必要に応じて、次の手順を続行します。
- 探索サイクルを実行し、スキャナーのレポートを表示する
- PowerShell を使用して、分類と保護を適用するようにスキャナーを構成する
- PowerShell を使用してスキャナーで DLP ポリシーを構成する
次の表に、スキャナーのインストールとコンテンツ スキャン ジョブの管理に関連する PowerShell コマンドレットを示します。
コマンドレット | 説明 |
---|---|
Add-ScannerRepository | コンテンツ スキャン ジョブに新しいリポジトリを追加する。 |
Get-ScannerConfiguration | クラスターに関する詳細を返します。 |
Get-ScannerContentScan | コンテンツ スキャン ジョブの詳細を取得します。 |
Get-ScannerRepository | コンテンツ スキャン ジョブに定義されたリポジトリの詳細を取得します。 |
Remove-ScannerContentScan | コンテンツ スキャン ジョブを削除します。 |
Remove-ScannerRepository | コンテンツ スキャン ジョブからリポジトリを削除します。 |
Set-ScannerContentScan | コンテンツ スキャン ジョブの設定を定義します。 |
Set-ScannerRepository | コンテンツ スキャン ジョブで既存のリポジトリの設定を定義します。 |
詳細については、以下を参照してください: