Azure Information Protection は21Vianet が運用するOffice 365 にサポートします。

  • [アーティクル]

この記事では、21Vianet が運用する Office 365 の Azure Information Protection (AIP) サポートと商用オファリング間の違いと、中国のお客様向けに AIP を設定するための具体的な指示 (情報保護スキャナーのインストール方法とコンテンツ スキャン ジョブの管理方法を含む) について説明します。

21Vianet が運営する Office 365 用に AIP と商用オファリング間の違い

私たちの目標は、21Vianet オファーが運営する Office 365 の AIP を使用して、中国のお客様にすべての商用特性と機能を提供することですが、欠けている機能がいくつかあることを強調したいと思います。

21Vianet が運営する Office 365 の AIP と商用オファリング間のギャップの一覧を次に示します。

  • Active Directory Rights Management サービス (AD RMS) 暗号化は、Microsoft 365 Apps for enterprise (ビルド 11731.10000 以降) でのみサポートされます。 Office Professional Plus は AD RMS をサポートしません。

  • AD RMS から AIP への移行は現在利用できません。

  • 商用クラウド内のユーザーと保護された電子メールの共有がサポートされています。

  • 商用クラウド内のユーザーとのドキュメントと電子メールの添付ファイルの共有は現在利用できません。 これには、商用クラウドの 21Vianet ユーザーが運営する Office 365、商用クラウドの 21Vianet ユーザーが運営する 非Office 365 、RMS 用にIndividuals ライセンスを持つユーザーが含まれます。

  • SharePoint (IRM で保護されたサイトとライブラリ)を使用したIRM は現在使用できません。

  • AD RMS 用のモバイル デバイス拡張は現在利用できません。

  • モバイル ビューアーは、Azure China 21Vianet によってサポートされていません。

  • コンプライアンス ポータルのスキャナーエリアは、中国のお客様には利用できません。  コンテンツ スキャン ジョブの管理や実行など、ポータルでアクションを実行する代わりにPowerShell コマンドを利用してください。

  • 21Vianet が運用する Office 365 の AIP エンドポイントは、他のクラウド サービスに必要なエンドポイントとは異なります。 クライアントから次のエンドポイントへのネットワーク接続が必要です。 

    • ラベルとラベルポリシーをダウンロードします: *.protection.partner.outlook.cn
    • Azure Rights Management サービス: *.aadrm.cn

  • ユーザーによるドキュメント追跡と失効は現在利用できません。

中国の顧客向けに AIP を構成する

中国の顧客向けに AIP を構成するには:

  1. テナント用にRights Management を有効にする

  2. Microsoft Information Protection Sync Service サービス プリンシパルを追加する

  3. DNS 暗号化を設定します。

  4. AIP 統合ラベル付けクライアントを設定とインストールします

  5. Windows で AIP アプリを設定します。

  6. 情報保護スキャナーをインストールし、コンテンツ スキャン ジョブを管理します。 

手順1:テナントの Rights Management を有効にする

暗号化が正しく機能するためには、テナント用に RMS を有効にする必要があります。

  1. RMS が有効になっているかどうかを確認する。

    1. PowerShellを管理者として起動します。
    2. AIPService モジュールがインストールされていない場合は、実行します Install-Module AipService
    3. 使用している Import-Module AipServiceモジュールをインポートする。
    4. Connect-AipService -environmentname azurechinacloud 使用しているサービスに接続する
    5. Enabled 状態があるかどうかを実行して (Get-AipServiceConfiguration).FunctionalState 確認します。

  2. 機能状態が Disabled の場合、Enable-AipService 実行します。

手順 2: Microsoft Information Protection Sync Service サービス プリンシパルを追加する

Microsoft Information Protection Sync Service サービス プリンシパルは、既定では Azure China テナントで使用できなく、Azure Information Protection に必要です。 Azure Az PowerShell モジュールを通じてこのサービス プリンシパルを手動で作成します。

  1. Azure Az モジュールがインストールされていない場合は、インストールするか、Azure Cloud Shell などの Azure Az モジュールがプレインストールされているリソースを利用します。 詳細については、「Azure Az PowerShell モジュールをインストールする」を参照してください。

  2. Connect-AzAccount コマンドレットと環境名を使用してサービスにazurechinacloud接続します。 

    Connect-azaccount -environmentname azurechinacloud

  3. New-AzADServicePrincipal コマンドレットと870c4f2e-85b6-4d43-bdda-6ed9a579b725Microsoft Purview Information Protection Sync Service用にアプリケーション ID を使用して、Microsoft Information Protection Sync Service サービス プリンシパルを手動で作成します。

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. サービス プリンシパルを追加した後、サービスに必要な関連するアクセス許可を追加します。 

手順 3: DNS 暗号化を設定する

暗号化が正しく機能するためには、Office クライアント アプリケーションは、サービスの 中国 インスタンスに接続し、そこから起動する必要があります。 クライアント アプリケーションを適切なサービス インスタンスにリダイレクトするには、テナント管理者が、Azure RMS URL に関する情報を含む DNS SRV レコードを構成する必要があります。 DNS SRV レコードがない場合、クライアント アプリケーションは既定でパブリック クラウド インスタンスへの接続を試行し、失敗します。

また、ユーザーは ユーザー名 (例: joe@contoso.onmschina.cn) ではなく onmschina、テナント所有の ドメイン (例: joe@contoso.cn) に基づいてユーザー名でログインすることを前提としています。 ユーザー名からのドメイン名は、適切なサービス インスタンスへの DNS リダイレクトに使用されます。

DNS 暗号化の構成 - Windows 

  1. RMS ID を取得する:

    1. PowerShellを管理者として起動します。
    2. AIPService モジュールがインストールされていない場合は、実行します Install-Module AipService
    3. Connect-AipService -environmentname azurechinacloud 使用しているサービスに接続する
    4. RMS ID を取得するために実行 (Get-AipServiceConfiguration).RightsManagementServiceId します。 

  2. DNS プロバイダーにログインし、ドメインの DNS 設定に移動し、新しい SRV レコードを追加する

    • サービス = _rmsredir
    • プロトコル = _http
    • 名前 = _tcp
    • ターゲット = [GUID].rms.aadrm.cn (GUID は RMS IDである場合)
    • Priority、Weight、Seconds、TTL = 既定値

  3. Custom Domain を Azure Portal のテナントに関連付けます。 これにより DNS にエントリが追加されますが、DNS 設定に値を追加した後、検証に数分かかる場合があります。

  4. 対応するグローバル管理者の資格情報を使用して Microsoft 365 管理 センターにログインし、ユーザーの作成にドメイン (例: contoso.cn) を追加します。 検証プロセスでは、追加のDNS 変更が必要になる場合があります。 検証が完了したら、ユーザーを作成できます。

DNS 暗号化の構成 - Mac、iOS、Android 

DNS プロバイダーにログインし、ドメインの DNS 設定に移動し、新しい SRV レコードを追加する

  • サービス = _rmsdisco
  • プロトコル = _http
  • 名前 = _tcp
  • 移行先 = api.aadrm.cn
  • ポート = 80
  • Priority、Weight、Seconds、TTL = 既定値

手順 4: AIP 統合ラベル付けクライアントをインストールして設定する

Microsoft ダウンロード センターからの AIP 統合ラベル付けクライアントをダウンロードしてインストールします。

詳細については、以下を参照してください:

手順 5: Windows で AIP アプリを設定する

Windows 上のAIP アプリでは、Azure China 用に正しいソブリン クラウドをポイントするために、次のレジストリ キーが必要です。

  • レジストリ ノード= HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • 名前 = CloudEnvType
  • 値= 6(既定値 = 0)
  • 種類 = REG_DWORD

重要

アンインストール後にレジストリ キーを削除しないことを確認してください。 キーが空白、正しくない、または存在しない場合、機能は既定値 (商用クラウドの場合は既定値 = 0) として動作します。 キーが空または正しくない場合は、印刷エラーもログに追加されます。

手順 6: 情報保護スキャナーをインストールし、コンテンツ スキャン ジョブを管理する

Microsoft Purview情報保護スキャナーをインストールしてネットワークとコンテンツ共有の機密データをスキャンし、組織のポリシーで構成されている分類と保護のラベルを適用します。

コンテンツ スキャン ジョブを設定および管理する場合は、商用オファリングで使用されるMicrosoft Purview コンプライアンス ポータルの代わりに、次の手順を利用します。

詳細については、「 情報保護スキャナー について」および 「PowerShell のみを使用しているコンテンツ スキャン ジョブを管理する」を参照してください。

スキャナーを設定してインストールするには:

  1. スキャナーを実行する Windows Server コンピュータにサインインします。 ローカル管理者権限と SQL Server マスターデータベースへの書き込みアクセス許可を持つアカウントを使用します。

  2. PowerShell が閉じた状態で開始します。 以前に AIP クライアントとスキャナーをインストールしたことがある場合は、AIPScanner サービスが停止されていることを確認します。

  3. [管理者として実行] オプションを使用して Windows PowerShell セッションを開きます。

  4. Install-AIPScanner コマンドレットを実行し、Azure Information Protection スキャナー用のデータベースを作成する SQL Server のインスタンスと、スキャナークラスターに意味がある名前を指定します。

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>

    ヒント

    Install-AIPScanner コマンドで同じクラスター名を使用して、複数のスキャナー ノードを同じクラスターに関連付けることができます。 複数のスキャナー ノードに同じクラスターを使用すると、複数のスキャナーが連携してスキャンを実行できます。

  5. [管理ツール] > [サービス] の順に使用して、サービスがインストールされていることを確認します。

    インストールされているサービスの名前は Azure Information Protection スキャナーで、作成したスキャナー サービス アカウントを使用して実行するように構成されます。

  6. スキャナーで使用する Azure トークンを取得します。 Microsoft Entra トークンを使用すると、スキャナーを Azure Information Protection サービスに認証できるようになり、スキャナーが非対話形式で実行されるようになります。

    1. Azure portal を開き、認証用のアクセス トークンを指定するための Microsoft Entra アプリケーションを作成します。 詳細については、「Azure Information Protection のために非対話形式でファイルにラベルを付ける方法」を参照してください。

      ヒント

      Set-AIPAuthentication コマンド用に Microsoft Entra アプリケーションを作成して構成する場合、[API のアクセス許可の要求] ウィンドウには、Microsoft API タブの代わりに自分の組織が使用するAIPタブが表示されます。Azure Rights Management Services を選択するために自分の組織が使用する API を選択します。

    2. スキャナーのサービス アカウントにインストール用にローカルでログオン権限が付与されている場合、Windows Server コンピューターから、このアカウントを使用してサインインし、PowerShell セッションを開始します。

      インストールのためのローカルでログオン権限をスキャナー サービス アカウントに付与できない場合は、「非対話形式でファイルに Azure Information Protection のラベル付けをする方法」で説明されているように、Set-AIPAuthenticationOnBehalfOf パラメーターを使用します。

    3. Microsoft Entra アプリケーションからコピーした値を指定して、Set-AIPAuthentication を実行します。 

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    次に例を示します。

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    スキャナーには、Microsoft Entra ID を認証するトークンがあります。 このトークンは、 Microsoft Entra ID でWeb アプリ/API クライアント シークレットの構成に従って、1 年間、2 年間、または無期限で有効です。 トークンの有効期限が切れた場合は、この手順を繰り返す必要があります。

  7. Set-AIPScannerConfiguration コマンドレットを実行してスキャナーをオフライン モードで機能するように設定します。 走る (Run):

    Set-AIPScannerConfiguration -OnlineConfiguration Off

  8. Set-AIPScannerContentScanJob コマンドレットを実行して、既定のコンテンツ スキャン ジョブを作成します。

    Set-AIPScannerContentScanJob コマンドレットの必須パラメーターは、[Enforce] のみです。 ただし、この時点でコンテンツ スキャン ジョブの他の設定を定義することもできます。 次に例を示します。

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    上記の構文では、構成を続行している間に次の設定が構成されます。

    • スキャナーの実行スケジュールを手動のままにします
    • 機密ラベル付けポリシーに基づいて検出される情報の種類を設定します
    • 機密ラベル付けポリシーを適用しません
    • 機密ラベル付けポリシーに定義されている既定のラベルを使用して、コンテンツに基づいてファイルに自動的にラベルを付けます
    • ファイルのラベルを書き換えることはできません
    • スキャン時および自動ラベル付け中にファイルの詳細を保持します。これには変更日最終変更日時変更者などが含まれます。
    • 実行時に .msg および .tmp ファイルを除外するようにスキャナーを設定します
    • スキャナーを実行するときに使用するアカウントに既定の所有者を設定します

  9. Add-AIPScannerRepository コマンドレットを使用して、コンテンツ スキャン ジョブでスキャンするリポジトリを定義します。 たとえば、以下を実行します。

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    追加するリポジトリの種類に応じて、次のいずれかの構文を使用します。

    • ネットワーク共有の場合は、\\Server\Folder を使用します。
    • SharePoint ライブラリの場合は、http://sharepoint.contoso.com/Shared%20Documents/Folder を使用します。
    • ローカル パスの場合:C:\Folder
    • UNC パスの場合: \\Server\Folder

    Note

    Wildcards はサポートされておらず、WebDav の場所はサポートされていません。

    後でリポジトリを変更するには、代わりに Set-AIPScannerRepository コマンドレットを使用します。

必要に応じて、次の手順を続行します。

次の表に、スキャナーのインストールとコンテンツ スキャン ジョブの管理に関連する PowerShell コマンドレットを示します。  

コマンドレット 説明
Add-AIPScannerRepository コンテンツ スキャン ジョブに新しいリポジトリを追加する。
Get-AIPScannerConfiguration クラスターに関する詳細を返します。 
Get-AIPScannerContentScanJob コンテンツ スキャン ジョブの詳細を取得します。 
Get-AIPScannerRepository コンテンツ スキャン ジョブに定義されたリポジトリの詳細を取得します。
Remove-AIPScannerContentScanJob コンテンツ スキャン ジョブを削除します。 
Remove-AIPScannerRepository コンテンツ スキャン ジョブからリポジトリを削除します。 
Set-AIPScannerContentScanJob コンテンツ スキャン ジョブの設定を定義します。 
Set-AIPScannerRepository コンテンツ スキャン ジョブで既存のリポジトリの設定を定義します。

詳細については、以下を参照してください: