Opis usługi Azure Information Protection Premium Dla instytucji rządowych

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, klient klasyczny usługi Azure Information Protection i zarządzanie etykietami w witrynie Azure Portal są przestarzałe dla klientów GCC, GCC-H i DoD od 31 września 2021 r.

Klient klasyczny zostanie oficjalnie wycofany i przestanie działać 31 marca 2022 r.

Wszyscy obecni klienci klasyczni usługi Azure Information Protection muszą przeprowadzić migrację do ujednoliconej platformy etykietowania usługi Microsoft Purview Information Protection i uaktualnić ją do klienta ujednoliconego etykietowania. Dowiedz się więcej na naszym blogu dotyczącym migracji.

Jak używać tego opisu usługi

Ujednolicone etykietowanie usługi Azure Information Protection jest dostępne dla klientów GCC, GCC High i DoD.

Opis usługi Azure Information Protection Premium Dla instytucji rządowych jest przeznaczony do przeglądu naszej oferty w środowiskach GCC High i DoD i będzie obejmować odmiany funkcji w porównaniu z ofertami komercyjnymi usługi Azure Information Protection Premium.

Aby dowiedzieć się więcej na temat usługi Azure Information Protection dla klientów GCC i GCC High, zobacz opis ofert pakietu EMS dla instytucji rządowych USA i współdziałania platformy Microsoft 365.

Azure Information Protection Premium Government i usługi innych firm

Niektóre usługi Azure Information Protection Premium umożliwiają bezproblemową pracę z aplikacjami i usługami innych firm.

Te aplikacje i usługi innych firm mogą obejmować przechowywanie, przesyłanie i przetwarzanie zawartości klienta organizacji w systemach innych firm, które znajdują się poza infrastrukturą usługi Azure Information Protection Premium, a zatem nie są objęte naszymi zobowiązaniami dotyczącymi zgodności i ochrony danych.

Podczas oceny odpowiedniego korzystania z tych usług w organizacji należy zapoznać się z oświadczeniami dotyczącymi prywatności i zgodności dostarczonymi przez osoby trzecie.

Równoważność z ofertami komercyjnymi usługi Azure Information Protection w warstwie Premium

Aby uzyskać informacje o znanych istniejących lukach między usługą Azure Information Protection Premium GCC High/DoD i ofertą komercyjną, zobacz Dostępność funkcji w chmurze dla klientów rządowych USA dla usługi Azure Information Protection.

Konfigurowanie usługi Azure Information Protection dla klientów GCC High i DoD

Poniższe szczegóły konfiguracji są istotne dla wszystkich rozwiązań usługi Azure Information Protection dla klientów GCC High i DoD, w tym ujednoliconych rozwiązań etykietowania.

Ważne

Od lipca 2020 r. wszyscy nowi klienci GCC High rozwiązania ujednoliconego etykietowania usługi Azure Information Protection mogą korzystać tylko z funkcji menu Ogólne i menu Skaner.

Włączanie usługi Rights Management dla dzierżawy

Aby szyfrowanie działało poprawnie, usługa Rights Management musi być włączona dla dzierżawy.

  • Sprawdź, czy usługa Rights Management jest włączona
    • Uruchamianie programu PowerShell jako administrator
    • Uruchom polecenie Install-Module aadrm , jeśli moduł AADRM nie jest zainstalowany
    • Nawiązywanie połączenia z usługą przy użyciu polecenia Connect-aadrmservice -environmentname azureusgovernment
    • Uruchom polecenie (Get-AadrmConfiguration).FunctionalState i sprawdź, czy stan to Enabled
  • Jeśli stan funkcjonalny to Disabled, uruchom polecenie Enable-Aadrm

Konfiguracja DNS na potrzeby szyfrowania (Windows)

Aby szyfrowanie działało prawidłowo, aplikacje klienckie pakietu Office muszą łączyć się z wystąpieniem GCC, GCC High/DoD usługi i uruchamiać z tego miejsca. Aby przekierować aplikacje klienckie do właściwego wystąpienia usługi, administrator dzierżawy musi skonfigurować rekord SRV DNS z informacjami o adresie URL usługi Azure RMS. Bez rekordu SRV DNS aplikacja kliencka podejmie próbę nawiązania połączenia z wystąpieniem chmury publicznej domyślnie i zakończy się niepowodzeniem.

Ponadto zakłada się, że użytkownicy będą logować się przy użyciu nazwy użytkownika na podstawie domeny należącej do dzierżawy (na przykład: joe@contoso.us), a nie nazwy użytkownika onmicrosoft (na przykład: joe@contoso.onmicrosoft.us). Nazwa domeny z nazwy użytkownika jest używana do przekierowywania DNS do właściwego wystąpienia usługi.

  • Uzyskiwanie identyfikatora usługi Rights Management
    • Uruchamianie programu PowerShell jako administrator
    • Jeśli moduł AADRM nie jest zainstalowany, uruchom polecenie Install-Module aadrm
    • Nawiązywanie połączenia z usługą przy użyciu polecenia Connect-aadrmservice -environmentname azureusgovernment
    • Uruchom polecenie (Get-aadrmconfiguration).RightsManagementServiceId , aby uzyskać identyfikator usługi Rights Management
  • Zaloguj się do dostawcy DNS i przejdź do ustawień DNS dla domeny, aby dodać nowy rekord SRV
    • Usługa = _rmsredir
    • Protokół = _http
    • Nazwa = _tcp
    • Target = [GUID].rms.aadrm.us (gdzie identyfikator GUID jest identyfikatorem usługi Rights Management)
    • Port = 80
    • Priorytet, Waga, Sekundy, Czas wygaśnięcia = wartości domyślne
  • Skojarz domenę niestandardową z dzierżawą w witrynie Azure Portal. Skojarzenie domeny niestandardowej spowoduje dodanie wpisu w systemie DNS, co może potrwać kilka minut po dodaniu wartości.
  • Zaloguj się do Centrum administracyjnego pakietu Office przy użyciu odpowiednich poświadczeń administratora globalnego i dodaj domenę (na przykład: contoso.us) w celu utworzenia użytkownika. W procesie weryfikacji może być wymaganych kilka zmian DNS. Po zakończeniu weryfikacji można utworzyć użytkowników.

Konfiguracja dns szyfrowania (Mac, iOS, Android)

  • Zaloguj się do dostawcy DNS i przejdź do ustawień DNS dla domeny, aby dodać nowy rekord SRV
    • Usługa = _rmsdisco
    • Protokół = _http
    • Nazwa = _tcp
    • Target = api.aadrm.us
    • Port = 80
    • Priorytet, Waga, Sekundy, Czas wygaśnięcia = wartości domyślne

Migracja etykiet

Klienci GCC High i DoD muszą migrować wszystkie istniejące etykiety przy użyciu programu PowerShell. Tradycyjne metody migracji usługi AIP nie mają zastosowania dla klientów GCC High i DoD.

Użyj polecenia cmdlet New-Label , aby przeprowadzić migrację istniejących etykiet poufności. Przed rozpoczęciem migracji postępuj zgodnie z instrukcjami dotyczącymi nawiązywania połączenia i uruchamiania polecenia cmdlet przy użyciu centrum zgodności zabezpieczeń&.

Przykład migracji, gdy istniejąca etykieta poufności ma szyfrowanie:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Konfiguracja aplikacji usługi AIP

Podczas pracy z klientem usługi Azure Information Protection należy skonfigurować jeden z następujących kluczy rejestru, aby wskazywały aplikacje usługi AIP w systemie Windows na poprawną suwerenną chmurę. Upewnij się, że używasz poprawnych wartości dla konfiguracji.

Konfiguracja aplikacji usługi AIP dla klienta ujednoliconego etykietowania

Istotne dla: tylko klient ujednoliconego etykietowania usługi AIP

Węzeł rejestru HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nazwa CloudEnvType
Wartość 0 = komercyjna (wartość domyślna)
1 = GCC
2 = GCC High
3 = DoD
Typ REG_DWORD

Uwaga

  • Jeśli ten klucz rejestru jest pusty, niepoprawny lub brakuje, zachowanie zostanie przywrócone do wartości domyślnej (0 = komercyjne).
  • Jeśli klucz jest pusty lub nieprawidłowy, do dziennika jest również dodawany błąd drukowania.
  • Pamiętaj, aby nie usuwać klucza rejestru po odinstalowaniu.

Konfiguracja aplikacji usługi AIP dla klienta klasycznego

Istotne dla: tylko klient klasyczny usługi AIP

Węzeł rejestru HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nazwa WebServiceUrl
Wartość https://api.informationprotection.azure.us
Typ REG_SZ (ciąg)

Zapory i infrastruktura sieciowa

Jeśli masz zaporę lub podobne interweniujące urządzenia sieciowe skonfigurowane do zezwalania na określone połączenia, użyj następujących ustawień, aby zapewnić bezproblemową komunikację dla usługi Azure Information Protection.

  • Połączenie typu klient-usługa PROTOKOŁU TLS: nie przerywaj połączenia klienta-usługi TLS z adresem URL rms.aadrm.us (na przykład w celu przeprowadzenia inspekcji na poziomie pakietów).

    Następujące polecenia programu PowerShell ułatwiają określenie, czy połączenie klienta zostało zakończone przed nawiązaniem połączenia z usługą Azure Rights Management:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    Wynik powinien wskazywać, że urząd wystawiający certyfikat pochodzi z urzędu certyfikacji firmy Microsoft, na przykład: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Jeśli widzisz nazwę urzędu wystawiającego certyfikat, który nie pochodzi od firmy Microsoft, prawdopodobnie połączenie bezpiecznego klienta z usługą zostanie przerwane i musi zostać ponownie skonfigurowane na zaporze.

  • Pobieranie etykiet i zasad etykiet (tylko klient klasyczny usługi AIP): aby umożliwić klasycznemu klientowi usługi Azure Information Protection pobieranie etykiet i zasad etykiet, zezwól na adres URL api.informationprotection.azure.us za pośrednictwem protokołu HTTPS.

Aby uzyskać więcej informacji, zobacz:

Tagi usługi

Upewnij się, że zezwalasz na dostęp do wszystkich portów dla następujących tagów usługi:

  • Moduł AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend