Delen via


Beschrijving van azure Information Protection Premium Government-service

Notitie

Om een uniforme en gestroomlijnde klantervaring te bieden, worden de klassieke Azure Information Protection-client - en labelbeheer in Azure Portal afgeschaft voor GCC-, GCC-H- en DoD-klanten vanaf 31 september 2021.

De klassieke klant wordt officieel buiten gebruik gesteld en werkt niet meer op 31 maart 2022.

Alle huidige klassieke Azure Information Protection-clientklanten moeten migreren naar het Microsoft Purview Informatiebeveiliging geïntegreerd labelplatform en een upgrade uitvoeren naar de geïntegreerde labelclient. Meer informatie vindt u in onze migratieblog.

Deze servicebeschrijving gebruiken

Geïntegreerde Azure Information Protection-labels zijn beschikbaar voor GCC-, GCC High- en DoD-klanten.

De servicebeschrijving van Azure Information Protection Premium Government is ontworpen om te fungeren als een overzicht van ons aanbod in de GCC High- en DoD-omgevingen en behandelt functievariaties in vergelijking met commerciële aanbiedingen van Azure Information Protection Premium.

Azure Information Protection Premium Government en services van derden

Sommige Azure Information Protection Premium-services bieden de mogelijkheid om naadloos te werken met toepassingen en services van derden.

Deze toepassingen en services van derden kunnen betrekking hebben op het opslaan, verzenden en verwerken van de klantinhoud van uw organisatie op systemen van derden die zich buiten de Azure Information Protection Premium-infrastructuur bevinden en daarom niet onder onze nalevings- en gegevensbeschermingsverplichtingen vallen.

Zorg ervoor dat u de privacy- en nalevingsverklaringen van de derden bekijkt bij het beoordelen van het juiste gebruik van deze services voor uw organisatie.

Pariteit met commerciële aanbiedingen van Azure Information Protection Premium

Voor informatie over bekende bestaande hiaten tussen Azure Information Protection Premium GCC High/DoD en het commerciële aanbod, raadpleegt u de beschikbaarheid van cloudfuncties voor klanten van de Amerikaanse overheid voor Azure Information Protection.

Azure Information Protection configureren voor GCC High- en DoD-klanten

De volgende configuratiedetails zijn relevant voor alle Azure Information Protection-oplossingen voor GCC High- en DoD-klanten, inclusief geïntegreerde labeloplossingen.

Belangrijk

Vanaf de update van juli 2020 kunnen alle nieuwe GCC High-klanten van de geïntegreerde azure Information Protection-labeloplossing alleen gebruikmaken van zowel de menufuncties Algemeen als het menu Scanner.

Rights Management inschakelen voor de tenant

De Rights Management-service moet zijn ingeschakeld voor de tenant om de versleuteling correct te laten werken.

  • Controleren of de Rights Management-service is ingeschakeld
    • PowerShell starten als beheerder
    • Uitvoeren Install-Module aadrm als de AADRM-module niet is geïnstalleerd
    • Verbinding maken met service met behulp van Connect-aadrmservice -environmentname azureusgovernment
    • Uitvoeren (Get-AadrmConfiguration).FunctionalState en controleren of de status is Enabled
  • Als de functionele status is Disabled, voert u uit Enable-Aadrm

DNS-configuratie voor versleuteling (Windows)

Voor een correcte werking van versleuteling moeten Office-clienttoepassingen verbinding maken met het GCC-, GCC High/DoD-exemplaar van de service en bootstrap vanaf daar. Om clienttoepassingen om te leiden naar het juiste service-exemplaar, moet de tenantbeheerder een DNS SRV-record configureren met informatie over de Azure RMS-URL. Zonder de DNS SRV-record probeert de clienttoepassing standaard verbinding te maken met het openbare cloudexemplaren en mislukt deze.

De veronderstelling is ook dat gebruikers zich aanmelden met de gebruikersnaam op basis van het domein dat eigendom is van de tenant (bijvoorbeeld: joe@contoso.us), en niet de onmicrosoft-gebruikersnaam (bijvoorbeeld: joe@contoso.onmicrosoft.us). De domeinnaam van de gebruikersnaam wordt gebruikt voor DNS-omleiding naar het juiste service-exemplaar.

  • De Rights Management-service-id ophalen
    • PowerShell starten als beheerder
    • Als de AADRM-module niet is geïnstalleerd, voert u Install-Module aadrm
    • Verbinding maken met service met behulp van Connect-aadrmservice -environmentname azureusgovernment
    • Uitvoeren (Get-aadrmconfiguration).RightsManagementServiceId om de Rights Management-service-id op te halen
  • Meld u aan bij uw DNS-provider en navigeer naar de DNS-instellingen voor het domein om een nieuwe SRV-record toe te voegen
    • Service = _rmsredir
    • Protocol = _http
    • Naam = _tcp
    • Target = [GUID].rms.aadrm.us (waarbij GUID de Rights Management-service-id is)
    • Poort = 80
    • Prioriteit, Gewicht, Seconden, TTL = standaardwaarden
  • Koppel het aangepaste domein aan de tenant in Azure Portal. Als u het aangepaste domein associeert, wordt er een vermelding toegevoegd in DNS. Dit kan enkele minuten duren om na het toevoegen van de waarde te controleren.
  • Meld u aan bij het Office-beheercentrum en voeg het domein toe (bijvoorbeeld: contoso.us) voor het maken van gebruikers. In het verificatieproces zijn mogelijk nog enkele DNS-wijzigingen vereist. Zodra de verificatie is voltooid, kunnen gebruikers worden gemaakt.

DNS-configuratie voor versleuteling (Mac, iOS, Android)

  • Meld u aan bij uw DNS-provider en navigeer naar de DNS-instellingen voor het domein om een nieuwe SRV-record toe te voegen
    • Service = _rmsdisco
    • Protocol = _http
    • Naam = _tcp
    • Doel = api.aadrm.us
    • Poort = 80
    • Prioriteit, Gewicht, Seconden, TTL = standaardwaarden

Labelmigratie

GCC High- en DoD-klanten moeten alle bestaande labels migreren met behulp van PowerShell. Traditionele AIP-migratiemethoden zijn niet van toepassing op GCC High- en DoD-klanten.

Gebruik de cmdlet New-Label om uw bestaande vertrouwelijkheidslabels te migreren. Volg de instructies voor het verbinden en uitvoeren van de cmdlet met behulp van Security & Compliance Center voordat u aan de slag gaat met uw migratie.

Migratievoorbeeld wanneer een bestaand vertrouwelijkheidslabel versleuteling heeft:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Configuratie van AIP-apps

Wanneer u met de Azure Information Protection-client werkt, moet u een van de volgende registersleutels configureren om uw AIP-apps in Windows te laten verwijzen naar de juiste onafhankelijke cloud. Zorg ervoor dat u de juiste waarden voor uw installatie gebruikt.

Configuratie van AIP-apps voor de geïntegreerde labelclient

Relevant voor: Alleen de geïntegreerde AIP-labelclient

Registerknooppunt HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Naam CloudEnvType
Value 0 = Commercieel (standaard)
1 = GCC
2 = GCC High
3 = DoD
Type REG_DWORD

Notitie

  • Als deze registersleutel leeg, onjuist of ontbreekt, wordt het gedrag teruggezet naar de standaardwaarde (0 = Commercieel).
  • Als de sleutel leeg of onjuist is, wordt er ook een afdrukfout aan het logboek toegevoegd.
  • Zorg ervoor dat u de registersleutel niet verwijdert nadat u deze hebt verwijderd.

Configuratie van AIP-apps voor de klassieke client

Relevant voor: Alleen de klassieke AIP-client

Registerknooppunt HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Naam WebServiceUrl
Value https://api.informationprotection.azure.us
Type REG_SZ (tekenreeks)

Firewalls en netwerkinfrastructuur

Als u een firewall of vergelijkbare tussenliggende netwerkapparaten hebt die zijn geconfigureerd om specifieke verbindingen toe te staan, gebruikt u de volgende instellingen om een soepele communicatie voor Azure Information Protection te garanderen.

  • TLS-client-naar-service-verbinding: beëindig de TLS-client-naar-service-verbinding niet met de rms.aadrm.us-URL (bijvoorbeeld om inspectie op pakketniveau uit te voeren).

    U kunt de volgende PowerShell-opdrachten gebruiken om te bepalen of uw clientverbinding wordt beëindigd voordat deze de Azure Rights Management-service bereikt:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    Het resultaat moet laten zien dat de verlenende CA afkomstig is van een Microsoft-CA, bijvoorbeeld: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US Als u een verlenende CA-naam ziet die niet afkomstig is van Microsoft, is het waarschijnlijk dat uw beveiligde client-naar-service-verbinding wordt beëindigd en opnieuw moet worden geconfigureerd op uw firewall.

  • Labels en labelbeleid downloaden (alleen klassieke AIP-client):als u de klassieke Azure Information Protection-client wilt inschakelen om labels en labelbeleid te downloaden, staat u de URL api.informationprotection.azure.us via HTTPS toe.

Zie voor meer informatie:

Servicetags

Zorg ervoor dat u toegang tot alle poorten toestaat voor de volgende servicetags:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend