Suporte da Proteção de Informações do Azure para o Office 365 operado pela 21Vianet
Este artigo aborda as diferenças entre o suporte da Proteção de Informações do Azure (AIP) para o Office 365 operado pela 21Vianet e ofertas comerciais, bem como instruções específicas para configurar a AIP para clientes na China, incluindo como instalar o scanner da proteção de informações e gerenciar trabalhos de digitalização de conteúdo.
Diferenças entre o AIP para Office 365 operado pela 21Vianet e as ofertas comerciais
Embora nosso objetivo seja fornecer todos os recursos e funcionalidades comerciais aos clientes na China com nossa AIP para Office 365 operada pela 21Vianet, há algumas funcionalidades ausentes que gostaríamos de destacar.
A seguir está uma lista de lacunas entre o AIP para Office 365 operado pela 21Vianet e nossas ofertas comerciais:
A criptografia do Active Directory Rights Management Services (AD RMS) tem suporte somente no Microsoft 365 Apps para Grandes Empresas (compilação 11731.10000 ou posterior). O Office Professional Plus não oferece suporte ao AD RMS.
A migração do AD RMS para a AIP não está disponível no momento.
Há suporte para o compartilhamento de emails protegidos com usuários na nuvem comercial.
O compartilhamento de documentos e anexos de email com usuários na nuvem comercial não está disponível no momento. Isso inclui o Office 365 operado por usuários da 21Vianet na nuvem comercial, não o Office 365 operado por usuários da 21Vianet na nuvem comercial e usuários com uma licença do RMS para indivíduos.
IRM com SharePoint (bibliotecas e sites protegidos por IRM) não estão disponíveis no momento.
A Extensão de Dispositivo Móvel AD RMS não está disponível no momento.
O Visualizador Móvel não é suportado pelo Azure China 21Vianet.
A área de scanner do portal de conformidade não está disponível para clientes na China. Use os comandos do PowerShell em vez de executar ações no portal, como gerenciar e executar seus trabalhos de digitalização de conteúdo.
Os pontos de extremidade do AIP no Office 365 operados pela 21Vianet são diferentes dos pontos de extremidade necessários para outros serviços de nuvem. A conectividade de rede dos clientes para os seguintes pontos de extremidade é necessária:
- Faça o download dos rótulos e das políticas de rótulos:
*.protection.partner.outlook.cn
- Serviço do Azure Rights Management:
*.aadrm.cn
- Faça o download dos rótulos e das políticas de rótulos:
O Acompanhamento e a Revogação de Documentos pelos usuários não estão disponíveis no momento.
Configurar o AIP para clientes na China
Para configurar a AIP para clientes na China:
Adicione a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft.
Instalar e configurar o cliente de rotulagem unificada da AIP.
Instale o scanner de proteção de informações e gerencie trabalhos de digitalização de conteúdo.
Etapa 1: habilitar o Rights Management para o locatário
Para que a criptografia funcione corretamente, o RMS deve estar habilitado para o locatário.
Verifique se o RMS está habilitado:
- Inicie o PowerShell como um administrador.
- Se o módulo AIPService não estiver instalado, execute
Install-Module AipService
. - Importe o módulo usando
Import-Module AipService
. - Conecte-se ao serviço usando
Connect-AipService -environmentname azurechinacloud
. - Execute
(Get-AipServiceConfiguration).FunctionalState
e verifique se o estado éEnabled
.
Se o estado funcional for
Disabled
, executeEnable-AipService
.
Etapa 2: adicionar a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft
A entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft não está disponível nos locatários do Azure China por padrão e é necessária para a Proteção de Informações do Azure. Crie essa entidade de serviço manualmente por meio do módulo Azure Az PowerShell.
Se você não tiver o módulo Azure Az instalado, instale-o ou use um recurso em que o módulo Azure Az venha pré-instalado, como o Azure Cloud Shell. Para saber mais, confira Instalar o módulo Az PowerShell do Azure.
Conecte-se ao serviço usando o cmdlet Connect-AzAccount e o nome do ambiente
azurechinacloud
:Connect-azaccount -environmentname azurechinacloud
Crie a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft manualmente usando o cmdlet New-AzADServicePrincipal e a ID do aplicativo
870c4f2e-85b6-4d43-bdda-6ed9a579b725
para o Serviço de Sincronização da Proteção de Informações do Microsoft Purview:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
Depois de adicionar a entidade de serviço, adicione as permissões relevantes necessárias ao serviço.
Etapa 3: configurar a criptografia DNS
Para que a criptografia funcione corretamente, os aplicativos cliente do Office devem se conectar à instância da China do serviço e inicializar a partir daí. Para redirecionar aplicativos cliente para a instância de serviço correta, o administrador de locatários deve configurar um registro SRV DNS com informações sobre a URL do Azure RMS. Sem o registro SRV DNS, o aplicativo cliente tentará se conectar à instância de nuvem pública por padrão e falhará.
Além disso, pressupõe-se que os usuários farão logon com o nome de usuário baseado no domínio de propriedade do locatário (por exemplo: joe@contoso.cn
), e não o nome de usuário onmschina
(por exemplo: joe@contoso.onmschina.cn
). O nome de domínio do nome de usuário é usado para redirecionamento de DNS para a instância de serviço correta.
Configurar a criptografia DNS - Windows
Obtenha a ID do RMS:
- Inicie o PowerShell como um administrador.
- Se o módulo AIPService não estiver instalado, execute
Install-Module AipService
. - Conecte-se ao serviço usando
Connect-AipService -environmentname azurechinacloud
. - Execute
(Get-AipServiceConfiguration).RightsManagementServiceId
para obter a ID do RMS.
Faça logon no provedor de DNS, navegue até as configurações de DNS do domínio e adicione um novo registro SRV.
- Serviço =
_rmsredir
- Protocolo =
_http
- Nome =
_tcp
- Destino =
[GUID].rms.aadrm.cn
(onde GUID é a ID do RMS) - Prioridade, Peso, Segundos, TTL = valores padrão
- Serviço =
Associe o Custom Domain ao locatário no portal do Azure. Isso adicionará uma entrada no DNS, que pode levar vários minutos para ser verificada depois que você adicionar o valor às configurações de DNS.
Faça logon no Centro de administração do Microsoft 365 com as credenciais de administrador global correspondentes e adicione o domínio (por exemplo,
contoso.cn
) para a criação do usuário. No processo de verificação, podem ser necessárias alterações adicionais no DNS. Uma vez que a verificação é feita, os usuários podem ser criados.
Configurar a criptografia DNS - Mac, iOS, Android
Faça logon no provedor de DNS, navegue até as configurações de DNS do domínio e adicione um novo registro SRV.
- Serviço =
_rmsdisco
- Protocolo =
_http
- Nome =
_tcp
- Destino =
api.aadrm.cn
- Porta =
80
- Prioridade, Peso, Segundos, TTL = valores padrão
Etapa 4: instalar e configurar o cliente de rotulagem unificada da AIP
Faça download e instale o cliente de etiquetagem unificada AIP do Centro de Download da Microsoft.
Para saber mais, veja:
- Documentação da AIP
- Histórico de versões da AIP e política de suporte
- Requisitos do sistema da AIP
- Início rápido da AIP: implantar o cliente da AIP
- Guia do Administrador da AIP
- Guia do usuário da AIP
- Saiba mais sobre rótulos de confidencialidade
Etapa 5: configurar aplicativos da AIP no Windows
Os aplicativos AIP no Windows precisam da seguinte chave do registro para apontá-las para a nuvem soberana correta no Azure China:
- Nó do Registro =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Nome =
CloudEnvType
- Valor =
6
(padrão = 0) - Digite =
REG_DWORD
Importante
Lembre-se de não excluir a chave do Registro após uma desinstalação. Se a chave estiver vazia, incorreta ou não existir, a funcionalidade se comportará como o valor padrão (valor padrão = 0 para a nuvem comercial). Se a chave estiver vazia ou incorreta, um erro de impressão também será adicionado ao log.
Etapa 6: instalar o scanner de proteção de informações e gerenciar trabalhos de digitalização de conteúdo
Instale o scanner de Proteção de Informações do Microsoft Purview para verificar sua rede e compartilhamentos de conteúdo em busca de dados confidenciais e para aplicar rótulos de classificação e proteção conforme configurado na política da organização.
Ao configurar e gerenciar seus trabalhos de digitalização de conteúdo, use o procedimento a seguir em vez do portal de conformidade do Microsoft Purview usado pelas ofertas comerciais.
Para obter mais informações, confira Saiba mais sobre o scanner de proteção de informações e Gerenciar os trabalhos de digitalização de conteúdo usando somente o PowerShell.
Para instalar e configurar o scanner:
Inicie a sessão no computador com o Windows Server que executará o scanner. Use uma conta que tenha direitos de administrador local e que tenha permissões de gravação no banco de dados mestre do SQL Server.
Comece com o PowerShell fechado. Se você tiver instalado anteriormente o cliente da AIP e o scanner, certifique-se de que o serviço AIPScanner esteja parado.
Abra uma sessão do Windows PowerShell com a opção Executar como administrador.
Execute o cmdlet Install-AIPScanner, especificando sua instância do SQL Server na qual criar um banco de dados para o scanner da Proteção de Informações do Azure e um nome significativo para o cluster do scanner.
Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
Dica
Você pode usar o mesmo nome de cluster no comando Install-AIPScanner para associar vários nós de scanner ao mesmo cluster. O uso do mesmo cluster para vários nós de scanner permite que vários scanners trabalhem juntos para executar as varreduras.
Verifique se agora o serviço está instalado usando Ferramentas Adminstrativas>Serviços.
O serviço instalado é nomeado scanner de Proteção de Informações do Azure e é configurado para ser executado usando a conta de serviço do scanner que você criou.
Obtenha um token do Azure para usar com seu scanner. Um token do Microsoft Entra permite que o scanner se autentique no serviço Proteção de Informações do Azure e possa ser executado de forma não interativa.
Abra o portal do Azure e crie um aplicativo do Microsoft Entra para especificar um token de acesso para autenticação. Para obter mais informações, confira Como rotular arquivos de forma não interativa para a Proteção de Informações do Azure.
Dica
Ao criar e configurar aplicativos do Microsoft Entra para o comando Set-AIPAuthentication, o painel Solicitar permissões da API mostra a guia APIs que minha organização usa em vez da guia APIs da Microsoft. Selecione a opção as APIs que minha organização usa para selecionar os serviços Azure Rights Management.
No computador Windows Server, se a sua conta de serviço do scanner tiver recebido o direito de Fazer logon localmente para a instalação, entre com essa conta e inicie uma sessão do PowerShell.
Se não for possível conceder à sua conta de serviço de scanner o direito de Fazer logon localmente para a instalação, use o parâmetro OnBehalfOf com Set-AIPAuthentication, conforme descrito em Como rotular arquivos de forma não interativa para a Proteção de Informações do Azure.
Execute Set-AIPAuthentication, especificando os valores copiados do aplicativo Microsoft Entra:
Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Por exemplo:
$pscreds = Get-Credential CONTOSO\scanner Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
Agora, o scanner tem um token para autenticar-se no Microsoft Entra ID. Esse token é válido por um ano, dois anos ou nunca, de acordo com a configuração do segredo do cliente do aplicativo Web /API no Microsoft Entra ID. Você deve repetir esse procedimento quando o token expirar.
Execute o cmdlet Set-AIPScannerConfiguration para definir o scanner para funcionar no modo offline. Correr:
Set-AIPScannerConfiguration -OnlineConfiguration Off
Execute o cmdlet Set-AIPScannerContentScanJob para criar um trabalho de digitalização de conteúdo padrão.
O único parâmetro necessário no cmdlet Set-AIPScannerContentScanJob é Enforce. No entanto, convém definir outras configurações para seu trabalho de digitalização de conteúdo no momento. Por exemplo:
Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
A sintaxe acima define as seguintes configurações enquanto você continua a configuração:
- Mantém o agendamento de execução do scanner para manual
- Define os tipos de informações a serem descobertos com base na política de rótulo de confidencialidade
- Não impõe uma política de rótulo de confidencialidade
- Rotula automaticamente os arquivos com base no conteúdo, usando o rótulo padrão definido para a política de rótulo de confidencialidade
- Não permite rotular novamente os arquivos
- Preserva os detalhes do arquivo durante a digitalização e a rotulagem automática, incluindo os valores de data de modificação, última modificação e modificado por
- Define o scanner para excluir arquivos .msg e .tmp durante a execução
- Define o proprietário padrão para a conta que você deseja usar ao executar o scanner
Use o cmdlet Add-AIPScannerRepository para definir os repositórios que você deseja verificar em seu trabalho de digitalização de conteúdo. Por exemplo, execute:
Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Use uma das seguintes sintaxes, dependendo do tipo de repositório que você está adicionando:
- Para um compartilhamento de rede, use
\\Server\Folder
. - Para uma biblioteca do SharePoint, use
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Para um caminho local:
C:\Folder
- Para um caminho UNC:
\\Server\Folder
Observação
Não há suporte para recursos de curinga e para locais WebDav.
Para modificar o repositório posteriormente, use o cmdlet Set-AIPScannerRepository.
- Para um compartilhamento de rede, use
Continue com as seguintes etapas, conforme necessário:
- Executar um ciclo de descoberta e exibir relatórios para o scanner
- Usar o PowerShell para configurar o scanner para aplicar classificação e proteção
- Usar o PowerShell para configurar uma política DLP com o scanner
A tabela a seguir lista cmdlets do PowerShell que são relevantes para instalar o scanner e gerenciar seus trabalhos de digitalização de conteúdo:
Cmdlet | Descrição |
---|---|
Add-AIPScannerRepository | Adiciona um novo repositório ao trabalho de digitalização de conteúdo. |
Get-AIPScannerConfiguration | Retorna detalhes sobre o cluster. |
Get-AIPScannerContentScanJob | Obtém detalhes sobre o trabalho de digitalização de conteúdo. |
Get-AIPScannerRepository | Obtém detalhes sobre repositórios definidos para o trabalho de digitalização de conteúdo. |
Remove-AIPScannerContentScanJob | Exclui o trabalho de digitalização de conteúdo. |
Remove-AIPScannerRepository | Remove um repositório do trabalho de digitalização de conteúdo. |
Set-AIPScannerContentScanJob | Define as configurações do trabalho de digitalização de conteúdo. |
Set-AIPScannerRepository | Define as configurações de um repositório existente em seu trabalho de digitalização de conteúdo. |
Para saber mais, veja:
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de