21Vianet が運営するOffice 365に対する Azure Information Protection のサポート

この記事では、21Vianet が運営するOffice 365と商用オファリングに対する Azure Information Protection (AIP) のサポートの違いのほか、中国のお客様向けに AIP を構成するための具体的な手順 (情報保護スキャナーのインストール方法やコンテンツ スキャン ジョブの管理方法など) について説明します。

21Vianet が運営するOffice 365の AIP と商用オファリングの違い

私たちの目標は、21Vianet オファーが運営するOffice 365向けの AIP を使用して、中国のお客様にすべての商用機能を提供することですが、強調したい機能がいくつかあります。

次の一覧には、21Vianet が運営するOffice 365の AIP と 2021 年 1 月の時点での商用オファリングとの間の既存のギャップが含まれています。

• Active Directory Rights Management Services (AD RMS) 暗号化は、Microsoft 365 Apps for enterprise (ビルド 11731.10000 以降) でのみサポートされます。 Office Professional Plusは AD RMS をサポートしていません。

• 現在、AD RMS から AIP への移行は使用できません。

• 商用クラウド内のユーザーとの保護されたメールの共有がサポートされています。

• 商用クラウド内のユーザーとのドキュメントと電子メールの添付ファイルの共有は現在利用できません。 これには、商用クラウドで 21Vianet ユーザーが運営するOffice 365、商用クラウドで 21Vianet ユーザーが運営する非Office 365、RMS for Individuals ライセンスを持つユーザーが含まれます。

• SharePoint を使用した IRM (IRM で保護されたサイトとライブラリ) は現在使用できません。

• AD RMS のモバイル デバイス拡張機能は現在使用できません。

• モバイル ビューアーは、Azure China 21Vianet ではサポートされていません。

• コンプライアンス ポータルのスキャナー領域は、中国のお客様には利用できません。 コンテンツ スキャン ジョブの管理や実行など、ポータルでアクションを実行する代わりに PowerShell コマンド を使用します。

• 21Vianet によって運用されるOffice 365の AIP エンドポイントは、他のクラウド サービスに必要なエンドポイントとは異なります。 クライアントから次のエンドポイントへのネットワーク接続が必要です。

  • ラベルポリシーとラベルポリシーをダウンロードします。 *.protection.partner.outlook.cn
  • Azure Rights Management サービス: *.aadrm.cn

中国のお客様向けに AIP を構成する

中国のお客様向けに AIP を構成するには:

1. テナントの Rights Management を有効にします。

2. Microsoft Information Protection同期サービス プリンシパルを追加します。

3. DNS 暗号化を構成します。

4. AIP 統合ラベル付けクライアントをインストールして構成します。

5. Windows で AIP アプリを構成します。

6. 情報保護スキャナーをインストールし、コンテンツ スキャン ジョブを管理します。

手順 1: テナントの Rights Management を有効にする

暗号化を正しく機能させるには、テナントに対して RMS を有効にする必要があります。

1. RMS が有効かどうかを確認します。

   1. 管理者として PowerShell を起動します。
   2. AIPService モジュールがインストールされていない場合は、 を実行します Install-Module AipService。
   3. を使用してモジュールを Import-Module AipServiceインポートします。
   4. を使用して Connect-AipService -environmentname azurechinacloudサービスに接続します。
   5. を実行 (Get-AipServiceConfiguration).FunctionalState し、状態 Enabledが かどうかを確認します。

2. 機能状態が の場合は Disabled、 を実行します Enable-AipService。

手順 2: Microsoft Information Protection同期サービス サービス プリンシパルを追加する

Microsoft Information Protection Sync Service サービス プリンシパルは、既定では Azure China テナントでは使用できません。また、Azure Information Protectionに必要です。 Azure Az PowerShell モジュールを使用して、このサービス プリンシパルを手動で作成します。

1. Azure Az モジュールがインストールされていない場合は、インストールするか、Azure Az モジュールがプレインストールされているリソース (Azure Cloud Shell など) を使用します。 詳細については、「 Azure Az PowerShell モジュールをインストールする」を参照してください。

2. Connect-AzAccount コマンドレットと環境名を使用してサービスにazurechinacloud接続します。

   Connect-azaccount -environmentname azurechinacloud
   

3. New-AzADServicePrincipal コマンドレットと870c4f2e-85b6-4d43-bdda-6ed9a579b725Microsoft Purview 情報保護同期サービスのアプリケーション ID を使用して、Microsoft Information Protection同期サービス サービス プリンシパルを手動で作成します。

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. サービス プリンシパルを追加した後、サービスに必要な関連するアクセス許可を追加します。

手順 3: DNS 暗号化を構成する

暗号化を正しく機能させるには、Office クライアント アプリケーションがサービスの China インスタンスに接続し、そこからブートストラップする必要があります。 クライアント アプリケーションを適切なサービス インスタンスにリダイレクトするには、テナント管理者が Azure RMS URL に関する情報を使用して DNS SRV レコードを構成する必要があります。 DNS SRV レコードがないと、クライアント アプリケーションは既定でパブリック クラウド インスタンスへの接続を試み、失敗します。

また、ユーザーは、ユーザー名 (たとえばjoe@contoso.onmschina.cn) ではなくonmschina、テナント所有ドメイン (などjoe@contoso.cn) に基づいてユーザー名を使用してログインすることを前提としています。 ユーザー名のドメイン名は、正しいサービス インスタンスへの DNS リダイレクトに使用されます。

DNS 暗号化の構成 - Windows

1. RMS ID を取得します。

   1. 管理者として PowerShell を起動します。
   2. AIPService モジュールがインストールされていない場合は、 を実行します Install-Module AipService。
   3. を使用して Connect-AipService -environmentname azurechinacloudサービスに接続します。
   4. を実行 (Get-AipServiceConfiguration).RightsManagementServiceId して RMS ID を取得します。

2. DNS プロバイダーにログインし、ドメインの DNS 設定に移動し、新しい SRV レコードを追加します。

   • Service = _rmsredir
   • Protocol = _http
   • Name = _tcp
   • Target = [GUID].rms.aadrm.cn (GUID は RMS ID)
   • Priority、Weight、Seconds、TTL = 既定値

3. Azure portal内のテナントにカスタム ドメインを関連付けます。 これにより DNS にエントリが追加されます。これは、DNS 設定に値を追加した後に検証されるまでに数分かかる場合があります。

4. 対応するグローバル管理者資格情報を使用してMicrosoft 365 管理センターにログインし、ユーザー作成用にドメイン (例: contoso.cn) を追加します。 検証プロセスでは、追加の DNS 変更が必要になる場合があります。 検証が完了すると、ユーザーを作成できます。

DNS 暗号化の構成 - Mac、iOS、Android

DNS プロバイダーにログインし、ドメインの DNS 設定に移動し、新しい SRV レコードを追加します。

• Service = _rmsdisco
• Protocol = _http
• Name = _tcp
• Target = api.aadrm.cn
• Port = 80
• Priority、Weight、Seconds、TTL = 既定値

手順 4: AIP 統合ラベル付けクライアントをインストールして構成する

Microsoft ダウンロード センターから AIP 統合ラベル付けクライアントをダウンロードしてインストールします。

詳細については、以下を参照してください:

• AIP ドキュメント
• AIP バージョンの履歴とサポート ポリシー
• AIP システム要件
• AIP クイック スタート: AIP クライアントをデプロイする
• AIP 管理者ガイド
• AIP ユーザー ガイド
• Microsoft 365 秘密度ラベルについて説明します

手順 5: Windows で AIP アプリを構成する

Windows 上の AIP アプリでは、Azure China の正しいソブリン クラウドを指すために、次のレジストリ キーが必要です。

• レジストリ ノード = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Name = CloudEnvType
• Value = 6 (既定値 = 0)
• 型 = REG_DWORD

重要

アンインストール後にレジストリ キーを削除しないようにしてください。 キーが空、正しくない、または存在しない場合、機能は既定値 (商用クラウドの場合は既定値 = 0) として動作します。 キーが空または正しくない場合は、印刷エラーもログに追加されます。

手順 6: 情報保護スキャナーをインストールし、コンテンツ スキャン ジョブを管理する

Microsoft Purview 情報保護 スキャナーをインストールして、ネットワーク共有とコンテンツ共有で機密データをスキャンし、組織のポリシーで構成されている分類と保護ラベルを適用します。

コンテンツ スキャン ジョブを構成および管理する場合は、商用オファリングで使用されるMicrosoft Purview コンプライアンス ポータルではなく、次の手順を使用します。

詳細については、「 情報保護スキャナーの詳細」 と「 PowerShell のみを使用してコンテンツ スキャン ジョブを管理する」を参照してください。

スキャナーをインストールして構成するには:

1. スキャナーを実行する Windows Server コンピューターにサインインします。 ローカル管理者権限を持ち、SQL Server マスター データベースに書き込むアクセス許可を持つアカウントを使用します。

2. PowerShell が閉じられた状態で開始します。 以前に AIP クライアントとスキャナーをインストールしたことがある場合は、 AIPScanner サービスが停止していることを確認してください。

3. [管理者として実行] オプションを使用して、Windows PowerShell セッションを開きます。

4. Install-AIPScanner コマンドレットを実行し、Azure Information Protection スキャナーのデータベースを作成するSQL Server インスタンスと、スキャナー クラスターのわかりやすい名前を指定します。

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   ヒント

   Install-AIPScanner コマンドで同じクラスター名を使用して、複数のスキャナー ノードを同じクラスターに関連付けることができます。 複数のスキャナー ノードに同じクラスターを使用すると、複数のスキャナーを連携してスキャンを実行できます。

5. 管理ツール> サービスを使用して、サービスがインストールされていることを確認します。

   インストールされたサービスは Azure Information Protection Scanner という名前で、作成したスキャナー サービス アカウントを使用して実行するように構成されています。

6. スキャナーで使用する Azure トークンを取得します。 Azure AD トークンを使用すると、スキャナーは Azure Information Protection サービスに対して認証を行い、スキャナーを非対話型で実行できます。

   1. Azure portalを開き、認証用のアクセス トークンを指定する Azure AD アプリケーションを作成します。 詳細については、「Azure Information Protection用に非対話型でファイルにラベルを付ける方法」を参照してください。

      ヒント

      Set-AIPAuthentication コマンド用に Azure AD アプリケーションを作成して構成する場合、[API のアクセス許可の要求] ウィンドウに、[Microsoft API] タブではなく [組織が使用する API] タブが表示されます。組織で使用する API を選択し、[Azure Rights Management Services] を選択します。

   2. Windows Server コンピューターから、スキャナー サービス アカウントにインストールに対する ローカルでのログオン 権限が付与されている場合は、このアカウントでサインインし、PowerShell セッションを開始します。

      インストールに対してローカルでログオン権限をスキャナー サービス アカウントに付与できない場合は、「Azure Information Protection に対して非対話型でファイルにラベルを付ける方法」の説明に従って、Set-AIPAuthentication で OnBehalfOf パラメーターを使用します。

   3. Azure AD アプリケーションからコピーされた値を指定して、 Set-AIPAuthentication を実行します。

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   以下に例を示します。

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   これで、スキャナーに Azure AD に対して認証するトークンが用意されました。 このトークンは、Azure AD の Web アプリ /API クライアント シークレットの構成に従って、1 年、2 年、またはまったく有効ではありません。 トークンの有効期限が切れた場合は、この手順を繰り返す必要があります。

7. Set-AIPScannerConfiguration コマンドレットを実行して、スキャナーをオフライン モードで機能するように設定します。 次を実行します:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Set-AIPScannerContentScanJob コマンドレットを実行して、既定のコンテンツ スキャン ジョブを作成します。

   Set-AIPScannerContentScanJob コマンドレットで必要なパラメーターは、Enforce のみです。 ただし、現時点では、コンテンツ スキャン ジョブの他の設定を定義することもできます。 以下に例を示します。

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   上記の構文では、構成を続行するときに次の設定が構成されます。

   • スキャナーの実行スケジュールを手動で保持する
   • 秘密度ラベル付けポリシーに基づいて検出される情報の種類を設定します
   • 秘密度ラベル付けポリシーを適用しません
   • 秘密度ラベル付けポリシーに定義されている既定のラベルを使用して、コンテンツに基づいてファイルに自動的にラベルを付ける
   • ファイルのラベルを変更できません
   • 値によって変更された日付、最終変更日、変更日など、スキャンおよび自動ラベル付け中にファイルの詳細を保持します
   • 実行中に .msg ファイルと .tmp ファイルを除外するようにスキャナーを設定します
   • スキャナーの実行時に使用するアカウントに既定の所有者を設定します

9. Add-AIPScannerRepository コマンドレットを使用して、コンテンツ スキャン ジョブでスキャンするリポジトリを定義します。 たとえば、以下を実行します。

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   追加するリポジトリの種類に応じて、次のいずれかの構文を使用します。

   • ネットワーク共有の場合は、 を使用します \\Server\Folder。
   • SharePoint ライブラリの場合は、 を使用します http://sharepoint.contoso.com/Shared%20Documents/Folder。
   • ローカル パスの場合: C:\Folder
   • UNC パスの場合: \\Server\Folder

   注:

   ワイルドカードはサポートされておらず、WebDav の場所はサポートされていません。

   後でリポジトリを変更するには、代わりに Set-AIPScannerRepository コマンドレットを 使用します。

必要に応じて、次の手順に進みます。

• 検出サイクルを実行して、スキャナーのレポートを表示する
• PowerShell を使用して、分類と保護を適用するようにスキャナーを構成する
• PowerShell を使用してスキャナーを使用して DLP ポリシーを構成する

次の表に、スキャナーのインストールとコンテンツ スキャン ジョブの管理に関連する PowerShell コマンドレットの一覧を示します。

コマンドレット	説明
Add-AIPScannerRepository	コンテンツ スキャン ジョブに新しいリポジトリを追加します。
Get-AIPScannerConfiguration	クラスターの詳細を返します。
Get-AIPScannerContentScanJob	コンテンツ スキャン ジョブの詳細を取得します。
Get-AIPScannerRepository	コンテンツ スキャン ジョブに対して定義されているリポジトリの詳細を取得します。
Remove-AIPScannerContentScanJob	コンテンツ スキャン ジョブを削除します。
Remove-AIPScannerRepository	コンテンツ スキャン ジョブからリポジトリを削除します。
Set-AIPScannerContentScanJob	コンテンツ スキャン ジョブの設定を定義します。
Set-AIPScannerRepository	コンテンツ スキャン ジョブ内の既存のリポジトリの設定を定義します。

詳細については、以下を参照してください:

• 情報保護スキャナーについて説明します
• 情報保護スキャナーの構成とインストール
• PowerShell のみを使用してコンテンツ スキャン ジョブを管理します。