Suporte da Proteção de Informações do Azure para o Office 365 operado pela 21Vianet

  • Artigo

Este artigo aborda as diferenças entre o suporte da Proteção de Informações do Azure (AIP) para o Office 365 operado pela 21Vianet e ofertas comerciais, bem como instruções específicas para configurar o AIP para clientes na China, incluindo como instalar o scanner de proteção de informações e gerenciar trabalhos de verificação de conteúdo.

Diferenças entre o AIP para Office 365 operado pela 21Vianet e as ofertas comerciais

Embora nosso objetivo seja fornecer todos os recursos e funcionalidades comerciais aos clientes na China com nossa oferta AIP para Office 365 operada pela 21Vianet, há algumas funcionalidades ausentes que gostaríamos de destacar.

A seguir está uma lista de lacunas entre o AIP para Office 365 operado pela 21Vianet e nossas ofertas comerciais:

  • A encriptação do Ative Directory Rights Management Services (AD RMS) é suportada apenas nas Aplicações Microsoft 365 para empresas (compilação 11731.10000 ou posterior). O Office Professional Plus não suporta AD RMS.

  • A migração do AD RMS para o AIP não está disponível no momento.

  • O compartilhamento de e-mails protegidos com usuários na nuvem comercial é suportado.

  • O compartilhamento de documentos e anexos de e-mail com usuários na nuvem comercial não está disponível no momento. Isso inclui o Office 365 operado por usuários 21Vianet na nuvem comercial, não Office 365 operado por usuários 21Vianet na nuvem comercial e usuários com uma licença RMS for Individuals.

  • O IRM com SharePoint (sites e bibliotecas protegidos por IRM) não está disponível no momento.

  • A Extensão de Dispositivo Móvel para AD RMS não está disponível no momento.

  • O Visualizador Móvel não é suportado pelo Azure China 21Vianet.

  • A área de scanner do portal de conformidade não está disponível para clientes na China. Use comandos do PowerShell em vez de executar ações no portal, como gerenciar e executar seus trabalhos de verificação de conteúdo.

  • Os pontos de extremidade AIP no Office 365 operados pela 21Vianet são diferentes dos pontos de extremidade necessários para outros serviços de nuvem. É necessária conectividade de rede de clientes para os seguintes pontos de extremidade:

    • Políticas de download de rótulos e etiquetas: *.protection.partner.outlook.cn
    • Serviço Azure Rights Management: *.aadrm.cn

  • O Acompanhamento e Revogação de Documentos pelos utilizadores não está disponível no momento.

Configurar o AIP para clientes na China

Para configurar o AIP para clientes na China:

  1. Habilite o Rights Management para o locatário.

  2. Adicione a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft.

  3. Configure a criptografia DNS.

  4. Instale e configure o cliente de etiquetagem unificada AIP.

  5. Configure aplicativos AIP no Windows.

  6. Instale o verificador de proteção de informações e gerencie trabalhos de verificação de conteúdo.

Etapa 1: Habilitar o Rights Management para o locatário

Para que a encriptação funcione corretamente, o RMS tem de estar ativado para o inquilino.

  1. Verifique se o RMS está ativado:

    1. Inicie o PowerShell como administrador.
    2. Se o módulo AIPService não estiver instalado, execute Install-Module AipService.
    3. Importe o módulo usando Import-Module AipServiceo .
    4. Conecte-se ao serviço usando Connect-AipService -environmentname azurechinacloudo .
    5. Execute (Get-AipServiceConfiguration).FunctionalState e verifique se o estado é Enabled.

  2. Se o estado funcional for Disabled, execute Enable-AipService.

Etapa 2: Adicionar a entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft

A entidade de serviço do Serviço de Sincronização da Proteção de Informações da Microsoft não está disponível nos locatários do Azure China por padrão e é necessária para a Proteção de Informações do Azure. Crie esta entidade de serviço manualmente por meio do módulo Azure Az PowerShell.

  1. Se você não tiver o módulo Azure Az instalado, instale-o ou use um recurso em que o módulo Azure Az vem pré-instalado, como o Azure Cloud Shell. Para obter mais informações, veja Instalar o módulo Azure Az do PowerShell.

  2. Conecte-se ao serviço usando o cmdlet Connect-AzAccount e o nome do azurechinacloud ambiente:

    Connect-azaccount -environmentname azurechinacloud

  3. Crie a entidade de serviço do Serviço de Sincronização do Microsoft Information Protection manualmente usando o cmdlet New-AzADServicePrincipal e a ID do 870c4f2e-85b6-4d43-bdda-6ed9a579b725 aplicativo para o Serviço de Sincronização de Proteção de Informações do Microsoft Purview:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. Depois de adicionar a entidade de serviço, adicione as permissões relevantes necessárias ao serviço.

Etapa 3: Configurar a criptografia DNS

Para que a criptografia funcione corretamente, os aplicativos cliente do Office devem se conectar à instância China do serviço e inicializar a partir daí. Para redirecionar aplicativos cliente para a instância de serviço correta, o administrador do locatário deve configurar um registro SRV DNS com informações sobre a URL do Azure RMS. Sem o registro SRV DNS, o aplicativo cliente tentará se conectar à instância de nuvem pública por padrão e falhará.

Além disso, a suposição é que os usuários farão logon com um nome de usuário baseado no domínio de propriedade do locatário (por exemplo, joe@contoso.cn), e não no nome de onmschina usuário (por exemplo, joe@contoso.onmschina.cn). O nome de domínio do nome de usuário é usado para redirecionamento de DNS para a instância de serviço correta.

Configurar criptografia de DNS - Windows

  1. Obtenha o ID do RMS:

    1. Inicie o PowerShell como administrador.
    2. Se o módulo AIPService não estiver instalado, execute Install-Module AipService.
    3. Conecte-se ao serviço usando Connect-AipService -environmentname azurechinacloudo .
    4. Execute (Get-AipServiceConfiguration).RightsManagementServiceId para obter a ID do RMS.

  2. Inicie sessão no seu fornecedor de DNS, navegue até às definições de DNS do domínio e, em seguida, adicione um novo registo SRV.

    • Serviço = _rmsredir
    • Protocolo = _http
    • Nome = _tcp
    • Target = [GUID].rms.aadrm.cn (onde GUID é o ID do RMS)
    • Prioridade, Peso, Segundos, TTL = valores padrão

  3. Associe o domínio personalizado ao locatário no portal do Azure. Isso adicionará uma entrada no DNS, que pode levar vários minutos para ser verificada depois que você adicionar o valor às configurações de DNS.

  4. Inicie sessão no centro de administração do Microsoft 365 com as credenciais de administrador global correspondentes e adicione o domínio (por exemplo, contoso.cn) para a criação do utilizador. No processo de verificação, alterações adicionais de DNS podem ser necessárias. Uma vez feita a verificação, os usuários podem ser criados.

Configurar criptografia de DNS - Mac, iOS, Android

Inicie sessão no seu fornecedor de DNS, navegue até às definições de DNS do domínio e, em seguida, adicione um novo registo SRV.

  • Serviço = _rmsdisco
  • Protocolo = _http
  • Nome = _tcp
  • Público-alvo = api.aadrm.cn
  • Porta = 80
  • Prioridade, Peso, Segundos, TTL = valores padrão

Etapa 4: Instalar e configurar o cliente de etiquetagem unificada AIP

Transfira e instale o cliente de etiquetagem unificada AIP a partir do Centro de Transferências da Microsoft.

Para obter mais informações, consulte:

Etapa 5: Configurar aplicativos AIP no Windows

Os aplicativos AIP no Windows precisam da seguinte chave do Registro para apontá-los para a nuvem soberana correta para o Azure China:

  • Nó do Registro = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Nome = CloudEnvType
  • Valor = 6 (padrão = 0)
  • Tipo = REG_DWORD

Importante

Certifique-se de que não elimina a chave de registo após uma desinstalação. Se a chave estiver vazia, incorreta ou inexistente, a funcionalidade se comportará como o valor padrão (valor padrão = 0 para a nuvem comercial). Se a chave estiver vazia ou incorreta, um erro de impressão também será adicionado ao log.

Etapa 6: Instalar o verificador de proteção de informações e gerenciar trabalhos de verificação de conteúdo

Instale o mecanismo de varredura do Microsoft Purview Information Protection para verificar seus compartilhamentos de rede e conteúdo em busca de dados confidenciais e aplique rótulos de classificação e proteção conforme configurado na política da sua organização.

Ao configurar e gerenciar seus trabalhos de verificação de conteúdo, use o procedimento a seguir em vez do portal de conformidade do Microsoft Purview usado pelas ofertas comerciais.

Para obter mais informações, consulte Saiba mais sobre o verificador de proteção de informações e Gerenciar seus trabalhos de verificação de conteúdo usando apenas o PowerShell.

Para instalar e configurar o scanner:

  1. Entre no computador Windows Server que executará o scanner. Use uma conta que tenha direitos de administrador local e que tenha permissões para gravar no banco de dados mestre do SQL Server.

  2. Comece com o PowerShell fechado. Se tiver instalado anteriormente o cliente e o scanner AIP, certifique-se de que o serviço AIPScanner está parado.

  3. Abra uma sessão do Windows PowerShell com a opção Executar como administrador .

  4. Execute o cmdlet Install-AIPScanner , especificando sua instância do SQL Server na qual criar um banco de dados para o mecanismo de varredura da Proteção de Informações do Azure e um nome significativo para seu cluster de scanner.

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>

    Gorjeta

    Você pode usar o mesmo nome de cluster no comando Install-AIPScanner para associar vários nós de scanner ao mesmo cluster. O uso do mesmo cluster para vários nós de scanner permite que vários scanners trabalhem juntos para executar suas varreduras.

  5. Verifique se o serviço agora está instalado usando os Serviços de Ferramentas>Administrativas.

    O serviço instalado é chamado Azure Information Protection Scanner e está configurado para ser executado usando a conta de serviço do scanner que você criou.

  6. Obtenha um token do Azure para usar com seu scanner. Um token do Microsoft Entra permite que o mecanismo de varredura se autentique no serviço Proteção de Informações do Azure, permitindo que o mecanismo de varredura seja executado de forma não interativa.

    1. Abra o portal do Azure e crie um aplicativo Microsoft Entra para especificar um token de acesso para autenticação. Para obter mais informações, consulte Como rotular arquivos não interativamente para a Proteção de Informações do Azure.

      Gorjeta

      Ao criar e configurar aplicativos do Microsoft Entra para o comando Set-AIPAuthentication, o painel Request API permissions mostra a guia APIs que minha organização usa em vez da guia APIs da Microsoft. Selecione as APIs que minha organização usa para selecionar Azure Rights Management Services.

    2. No computador Windows Server, se a sua conta de serviço do scanner tiver recebido o direito Fazer logon localmente para a instalação, entre com essa conta e inicie uma sessão do PowerShell.

      Se sua conta de serviço do scanner não puder receber o direito Logon localmente para a instalação, use o parâmetro OnBehalfOf com Set-AIPAuthentication, conforme descrito em Como rotular arquivos não interativamente para a Proteção de Informações do Azure.

    3. Execute Set-AIPAuthentication, especificando valores copiados do seu aplicativo Microsoft Entra:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Por exemplo:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    O scanner agora tem um token para autenticar no Microsoft Entra ID. Esse token é válido por um ano, dois anos ou nunca, de acordo com sua configuração do segredo do cliente do aplicativo Web/API no Microsoft Entra ID. Quando o token expirar, você deve repetir este procedimento.

  7. Execute o cmdlet Set-AIPScannerConfiguration para definir o mecanismo de varredura para funcionar no modo offline. Executar:

    Set-AIPScannerConfiguration -OnlineConfiguration Off

  8. Execute o cmdlet Set-AIPScannerContentScanJob para criar um trabalho de verificação de conteúdo padrão.

    O único parâmetro necessário no cmdlet Set-AIPScannerContentScanJob é Enforce. No entanto, convém definir outras configurações para seu trabalho de verificação de conteúdo neste momento. Por exemplo:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    A sintaxe acima define as seguintes configurações enquanto você continua a configuração:

    • Mantém o agendamento de execução do scanner para manual
    • Define os tipos de informações a serem descobertos com base na política de rotulagem de sensibilidade
    • Não impõe uma política de rotulagem de sensibilidade
    • Rotula automaticamente os arquivos com base no conteúdo, usando o rótulo padrão definido para a política de rotulagem de sensibilidade
    • Não permite rerotular arquivos
    • Preserva os detalhes do arquivo durante a verificação e a rotulagem automática, incluindo a data de modificação, a última modificação e a modificação por valores
    • Define o mecanismo de varredura para excluir arquivos .msg e .tmp durante a execução
    • Define o proprietário padrão para a conta que você deseja usar ao executar o scanner

  9. Use o cmdlet Add-AIPScannerRepository para definir os repositórios que você deseja verificar em seu trabalho de verificação de conteúdo. Por exemplo, execute:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    Use uma das seguintes sintaxes, dependendo do tipo de repositório que você está adicionando:

    • Para um compartilhamento de rede, use \\Server\Folder.
    • Para uma biblioteca do SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Para um caminho local: C:\Folder
    • Para um caminho UNC: \\Server\Folder

    Nota

    Não há suporte para curingas e locais WebDav não são suportados.

    Para modificar o repositório posteriormente, use o cmdlet Set-AIPScannerRepository .

Continue com as seguintes etapas, conforme necessário:

A tabela a seguir lista os cmdlets do PowerShell que são relevantes para instalar o mecanismo de varredura e gerenciar seus trabalhos de verificação de conteúdo:

Cmdlet Description
Add-AIPScannerRepository Adiciona um novo repositório ao seu trabalho de verificação de conteúdo.
Get-AIPScannerConfiguration Retorna detalhes sobre o cluster.
Get-AIPScannerContentScanJob Obtém detalhes sobre seu trabalho de verificação de conteúdo.
Get-AIPScannerRepository Obtém detalhes sobre repositórios definidos para seu trabalho de verificação de conteúdo.
Remove-AIPScannerContentScanJob Exclui seu trabalho de verificação de conteúdo.
Remove-AIPScannerRepository Remove um repositório do seu trabalho de verificação de conteúdo.
Set-AIPScannerContentScanJob Define as configurações para seu trabalho de verificação de conteúdo.
Set-AIPScannerRepository Define configurações para um repositório existente em seu trabalho de verificação de conteúdo.

Para obter mais informações, consulte: