Share via

Microsoft Purview Information Protection dla usługi Office 365 obsługiwanej przez firmę 21Vianet

  • Artykuł

W tym artykule opisano różnice między obsługą usługi Microsoft Purview Information Protection dla usługi Office 365 obsługiwanej przez firmę 21Vianet i ofert komercyjnych, które są ograniczone do oferowania wcześniej znanej jako Azure Information Protection (AIP), a także określonych instrukcji konfiguracji dla klientów w Chinach— w tym sposobu instalowania skanera ochrony informacji i zarządzania zadaniami skanowania zawartości.

Różnice między ofertami 21Vianet i komercyjnymi

Naszym celem jest dostarczanie klientom w Chinach wszystkich funkcji i funkcji komercyjnych dzięki obsłudze usługi Microsoft Purview Information Protection dla usługi Office 365 obsługiwanej przez ofertę 21Vianet, ale brakuje niektórych funkcji:

  • Szyfrowanie Usługi Active Directory Rights Management (AD RMS) jest obsługiwane tylko w Aplikacje Microsoft 365 dla przedsiębiorstw (kompilacja 11731.10000 lub nowsza). Pakiet Office Professional Plus nie obsługuje usług AD RMS.

  • Migracja z usług AD RMS do usługi AIP jest obecnie niedostępna.

  • Udostępnianie chronionych wiadomości e-mail użytkownikom w chmurze komercyjnej jest obsługiwane.

  • Udostępnianie dokumentów i załączników wiadomości e-mail użytkownikom w chmurze komercyjnej jest obecnie niedostępne. Obejmuje to usługę Office 365 obsługiwaną przez użytkowników 21Vianet w chmurze komercyjnej, spoza usługi Office 365 obsługiwanej przez użytkowników 21Vianet w chmurze komercyjnej oraz użytkowników z licencją RMS for Individuals.

  • Usługa IRM z programem SharePoint (witryny i biblioteki chronione za pomocą usługi IRM) jest obecnie niedostępna.

  • Rozszerzenie urządzenia przenośnego dla usług AD RMS jest obecnie niedostępne.

  • Aplikacja Mobile Viewer nie jest obsługiwana przez platformę Azure (Chiny) 21Vianet.

  • Obszar skanera portalu zgodności jest niedostępny dla klientów w Chinach. Użyj poleceń programu PowerShell zamiast wykonywać akcje w portalu, takie jak zarządzanie zadaniami skanowania zawartości i uruchamianie ich.

  • Punkty końcowe sieci dla klienta usługi Microsoft Purview Information Protection w środowisku 21Vianet różnią się od punktów końcowych wymaganych dla innych usług w chmurze. Wymagana jest łączność sieciowa od klientów do następujących punktów końcowych:

    • Pobieranie zasad etykiet i etykiet: *.protection.partner.outlook.cn
    • Usługa Azure Rights Management: *.aadrm.cn

  • Śledzenie dokumentów i odwołania przez użytkowników nie są obecnie dostępne.

Konfiguracja dla klientów w wersji 21Vianet

Aby skonfigurować obsługę usługi Microsoft Purview Information Protection dla usługi Office 365 obsługiwanej przez firmę 21Vianet:

  1. Włącz usługę Rights Management dla dzierżawy.

  2. Dodaj jednostkę usługi synchronizacji usługi Microsoft Information Protection.

  3. Konfigurowanie szyfrowania DNS.

  4. Zainstaluj i skonfiguruj klienta usługi Microsoft Purview Information Protection.

  5. Konfigurowanie ustawień systemu Windows.

  6. Zainstaluj skaner ochrony informacji i zarządzaj zadaniami skanowania zawartości.

Krok 1. Włączanie usługi Rights Management dla dzierżawy

Aby szyfrowanie działało poprawnie, usługa zarządzania prawami (RMS) musi być włączona dla dzierżawy.

  1. Sprawdź, czy usługa RMS jest włączona:

    1. Uruchom program PowerShell jako administrator.
    2. Jeśli moduł AIPService nie jest zainstalowany, uruchom polecenie Install-Module AipService.
    3. Zaimportuj moduł przy użyciu polecenia Import-Module AipService.
    4. Połączenie do usługi przy użyciu polecenia Connect-AipService -environmentname azurechinacloud.
    5. Uruchom polecenie (Get-AipServiceConfiguration).FunctionalState i sprawdź, czy stan to Enabled.

  2. Jeśli stan funkcjonalny to Disabled, uruchom polecenie Enable-AipService.

Krok 2. Dodawanie jednostki usługi synchronizacji usługi Microsoft Information Protection

Jednostka usługi synchronizacji usługi Microsoft Information Protection nie jest domyślnie dostępna w dzierżawach usługi Azure (Chiny) i jest wymagana dla usługi Azure Information Protection. Utwórz tę jednostkę usługi ręcznie za pomocą modułu Azure Az programu PowerShell.

  1. Jeśli nie masz zainstalowanego modułu Azure Az, zainstaluj go lub użyj zasobu, w którym moduł Azure Az jest wstępnie zainstalowany, na przykład azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Instalowanie modułu Azure Az PowerShell.

  2. Połączenie do usługi przy użyciu polecenia cmdlet Połączenie-AzAccount i azurechinacloud nazwy środowiska:

    Connect-azaccount -environmentname azurechinacloud

  3. Utwórz jednostkę usługi synchronizacji usługi Microsoft Information Protection ręcznie przy użyciu polecenia cmdlet New-AzADServicePrincipal i 870c4f2e-85b6-4d43-bdda-6ed9a579b725 identyfikatora aplikacji dla usługi synchronizacji usługi Microsoft Purview Information Protection:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. Po dodaniu jednostki usługi dodaj odpowiednie uprawnienia wymagane do usługi.

Krok 3. Konfigurowanie szyfrowania DNS

Aby szyfrowanie działało poprawnie, aplikacje klienckie pakietu Office muszą łączyć się z wystąpieniem usługi w Chinach i uruchamiać z tego miejsca. Aby przekierować aplikacje klienckie do odpowiedniego wystąpienia usługi, administrator dzierżawy musi skonfigurować rekord SRV DNS z informacjami o adresie URL usługi Azure RMS. Bez rekordu SRV DNS aplikacja kliencka podejmie próbę nawiązania domyślnego połączenia z wystąpieniem chmury publicznej i zakończy się niepowodzeniem.

Ponadto założeniem jest to, że użytkownicy będą logować się przy użyciu nazwy użytkownika na podstawie domeny należącej do dzierżawy (na przykład ), a nie onmschina nazwy użytkownika (na przykład ). joe@contoso.cnjoe@contoso.onmschina.cn Nazwa domeny z nazwy użytkownika jest używana do przekierowywania DNS do poprawnego wystąpienia usługi.

Konfigurowanie szyfrowania DNS — Windows

  1. Pobierz identyfikator usługi RMS:

    1. Uruchom program PowerShell jako administrator.
    2. Jeśli moduł AIPService nie jest zainstalowany, uruchom polecenie Install-Module AipService.
    3. Połączenie do usługi przy użyciu polecenia Connect-AipService -environmentname azurechinacloud.
    4. Uruchom polecenie (Get-AipServiceConfiguration).RightsManagementServiceId , aby uzyskać identyfikator usługi RMS.

  2. Zaloguj się do dostawcy DNS, przejdź do ustawień DNS dla domeny, a następnie dodaj nowy rekord SRV.

    • Usługa = _rmsredir
    • Protokół = _http
    • Nazwa = _tcp
    • Target = [GUID].rms.aadrm.cn (gdzie identyfikator GUID jest identyfikatorem RMS)
    • Priorytet, waga, sekundy, czas wygaśnięcia = wartości domyślne

  3. Skojarz domenę niestandardową z dzierżawą w witrynie Azure Portal. Spowoduje to dodanie wpisu w systemie DNS, co może potrwać kilka minut po dodaniu wartości do ustawień DNS.

  4. Zaloguj się do Centrum administracyjne platformy Microsoft 365 przy użyciu odpowiednich poświadczeń administratora globalnego i dodaj domenę (na przykład contoso.cn) w celu utworzenia użytkownika. W procesie weryfikacji mogą być wymagane dodatkowe zmiany DNS. Po zakończeniu weryfikacji można utworzyć użytkowników.

Konfigurowanie szyfrowania DNS — Komputery Mac, iOS, Android

Zaloguj się do dostawcy DNS, przejdź do ustawień DNS dla domeny, a następnie dodaj nowy rekord SRV.

  • Usługa = _rmsdisco
  • Protokół = _http
  • Nazwa = _tcp
  • Target = api.aadrm.cn
  • Port = 80
  • Priorytet, waga, sekundy, czas wygaśnięcia = wartości domyślne

Krok 4. Instalowanie i konfigurowanie klienta etykietowania

Pobierz i zainstaluj klienta usługi Microsoft Purview Information Protection z Centrum pobierania Microsoft.

Aby uzyskać więcej informacji, zobacz:

Krok 5. Konfigurowanie ustawień systemu Windows

System Windows potrzebuje następującego klucza rejestru do uwierzytelniania, aby wskazać prawidłową suwerenną chmurę dla platformy Azure w Chinach:

  • Węzeł rejestru = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Nazwa = CloudEnvType
  • Wartość = 6 (wartość domyślna = 0)
  • Typ = REG_DWORD

Ważne

Upewnij się, że klucz rejestru nie został usunięty po odinstalowaniu. Jeśli klucz jest pusty, niepoprawny lub nieistniejący, funkcja będzie zachowywać się jako wartość domyślna (wartość domyślna = 0 dla chmury komercyjnej). Jeśli klucz jest pusty lub niepoprawny, do dziennika jest również dodawany błąd drukowania.

Krok 6. Instalowanie skanera ochrony informacji i zarządzanie zadaniami skanowania zawartości

Zainstaluj skaner usługi Microsoft Purview Information Protection, aby skanować udziały sieci i zawartości pod kątem poufnych danych oraz stosować etykiety klasyfikacji i ochrony zgodnie z konfiguracją w zasadach organizacji.

Podczas konfigurowania zadań skanowania zawartości i zarządzania nimi należy użyć poniższej procedury zamiast portal zgodności Microsoft Purview używanych przez oferty komercyjne.

Aby uzyskać więcej informacji, zobacz Informacje o skanerze ochrony informacji i Zarządzanie zadaniami skanowania zawartości tylko przy użyciu programu PowerShell.

Aby zainstalować i skonfigurować skaner:

  1. Zaloguj się na komputerze z systemem Windows Server, który uruchomi skaner. Użyj konta z uprawnieniami administratora lokalnego i ma uprawnienia do zapisu w bazie danych master programu SQL Server.

  2. Rozpocznij od zamknięcia programu PowerShell. Jeśli wcześniej zainstalowano skaner ochrony informacji, upewnij się, że usługa skanera usługi Microsoft Purview Information Protection została zatrzymana.

  3. Otwórz sesję programu Windows PowerShell z opcją Uruchom jako administrator .

  4. Uruchom polecenie cmdlet Install-Skaner, określając wystąpienie programu SQL Server, na którym ma zostać utworzona baza danych skanera usługi Microsoft Purview Information Protection, oraz zrozumiała nazwa klastra skanera.

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>

    Napiwek

    Możesz użyć tej samej nazwy klastra w poleceniu Install-Skaner, aby skojarzyć wiele węzłów skanera z tym samym klastrem. Użycie tego samego klastra dla wielu węzłów skanera umożliwia współdziałanie wielu skanerów w celu przeprowadzenia skanowania.

  5. Sprawdź, czy usługa jest teraz zainstalowana przy użyciu Administracja istrative Tools>Services.

    Zainstalowana usługa nosi nazwę Skaner usługi Microsoft Purview Information Protection i jest skonfigurowana do uruchamiania przy użyciu utworzonego konta usługi skanera.

  6. Pobierz token platformy Azure do użycia ze skanerem. Token firmy Microsoft Entra umożliwia skanerowi uwierzytelnianie w usłudze Azure Information Protection, co umożliwia uruchamianie skanera nieinterakcyjnego.

    1. Otwórz witrynę Azure Portal i utwórz aplikację Firmy Microsoft Entra, aby określić token dostępu do uwierzytelniania. Aby uzyskać więcej informacji, zobacz How to label files non-interactively for Azure Information Protection (Jak oznaczać pliki nieinterakcyjne dla usługi Azure Information Protection).

      Napiwek

      Podczas tworzenia i konfigurowania aplikacji Microsoft Entra dla polecenia Set-Authentication okienko Żądania uprawnień interfejsu API zawiera interfejsy API używane przez moją organizację kartę zamiast kartę Interfejsy API firmy Microsoft. Wybierz interfejsy API używane przez moją organizację do wybrania usług Azure Rights Management Services.

    2. Na komputerze z systemem Windows Server, jeśli konto usługi skanera zostało przyznane logowanie lokalne do instalacji, zaloguj się przy użyciu tego konta i uruchom sesję programu PowerShell.

      Jeśli nie można udzielić konta usługi skanera logowania lokalnego do instalacji, użyj parametru OnBehalfOf z ustawieniem uwierzytelniania zgodnie z opisem w temacie Jak oznaczać pliki nieinterakcyjne dla usługi Azure Information Protection.

    3. Uruchom polecenie Set-Authentication, określając wartości skopiowane z aplikacji Microsoft Entra:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Na przykład:

    $pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    Skaner ma teraz token do uwierzytelniania w usłudze Microsoft Entra ID. Ten token jest ważny przez jeden rok, dwa lata lub nigdy, zgodnie z konfiguracją wpisu tajnego klienta aplikacji internetowej /API w identyfikatorze Entra firmy Microsoft. Po wygaśnięciu tokenu należy powtórzyć tę procedurę.

  7. Uruchom polecenie cmdlet Set-ScannerConfiguration, aby ustawić skaner tak, aby działał w trybie offline. Uruchom:

    Set-ScannerConfiguration -OnlineConfiguration Off

  8. Uruchom polecenie cmdlet Set-ScannerContentScanJob, aby utworzyć domyślne zadanie skanowania zawartości.

    Jedynym wymaganym parametrem w poleceniu cmdlet Set-ScannerContentScanJob jest Wymuszanie. Jednak w tej chwili możesz zdefiniować inne ustawienia zadania skanowania zawartości. Na przykład:

    Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    Powyższa składnia konfiguruje następujące ustawienia podczas kontynuowania konfiguracji:

    • Utrzymuje harmonogram uruchamiania skanera do ręcznego
    • Ustawia typy informacji do odnalezienia na podstawie zasad etykietowania poufności
    • Nie wymusza zasad etykietowania poufności
    • Automatycznie etykietuje pliki na podstawie zawartości przy użyciu etykiety domyślnej zdefiniowanej dla zasad etykietowania poufności
    • Nie zezwala na ponowne etykietowanie plików
    • Zachowuje szczegóły pliku podczas skanowania i automatycznego etykietowania, w tym daty modyfikacji, ostatniej modyfikacji i modyfikacji według wartości
    • Ustawia skaner tak, aby wykluczał pliki .msg i .tmp podczas uruchamiania
    • Ustawia domyślnego właściciela konta, którego chcesz użyć podczas uruchamiania skanera

  9. Użyj polecenia cmdlet Add-ScannerRepository, aby zdefiniować repozytoria, które mają być skanowane w zadaniu skanowania zawartości. Na przykład uruchom polecenie:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    Użyj jednej z następujących składni, w zależności od typu dodawanego repozytorium:

    • W przypadku udziału sieciowego użyj polecenia \\Server\Folder.
    • W przypadku biblioteki programu SharePoint użyj polecenia http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Ścieżka lokalna: C:\Folder
    • Dla ścieżki UNC: \\Server\Folder

    Uwaga

    Symbole wieloznaczne nie są obsługiwane, a lokalizacje WebDav nie są obsługiwane.

    Aby później zmodyfikować repozytorium, zamiast tego użyj polecenia cmdlet Set-ScannerRepository .

W razie potrzeby wykonaj następujące czynności:

W poniższej tabeli wymieniono polecenia cmdlet programu PowerShell, które są istotne dla instalowania skanera i zarządzania zadaniami skanowania zawartości:

Polecenia cmdlet opis
Add-ScannerRepository Dodaje nowe repozytorium do zadania skanowania zawartości.
Get-ScannerConfiguration Zwraca szczegóły dotyczące klastra.
Get-ScannerContentScan Pobiera szczegółowe informacje o zadaniu skanowania zawartości.
Get-ScannerRepository Pobiera szczegółowe informacje o repozytoriach zdefiniowanych dla zadania skanowania zawartości.
Remove-ScannerContentScan Usuwa zadanie skanowania zawartości.
Remove-ScannerRepository Usuwa repozytorium z zadania skanowania zawartości.
Set-ScannerContentScan Definiuje ustawienia zadania skanowania zawartości.
Set-ScannerRepository Definiuje ustawienia istniejącego repozytorium w zadaniu skanowania zawartości.

Aby uzyskać więcej informacji, zobacz: