Описание службы Azure Information Protection Premium для государственных организаций

Примечание.

Чтобы обеспечить единый и упрощенный интерфейс клиента, классический клиент Azure Information Protection и управление метками на портале Azure устарели для клиентов GCC, GCC-H и DoD с 31 сентября 2021 года.

Поддержка классического клиента будет официально прекращена, и он перестанет работать 31 марта 2022 г.

Все текущие клиенты классического клиента Azure Information Protection должны перейти на платформу унифицированных меток Защита информации Microsoft Purview и перейти к клиенту унифицированных меток. Дополнительные сведения см. в блоге по миграции.

Как использовать это описание службы

Унифицированные метки Azure Information Protection доступны для клиентов GCC, GCC High и DoD.

Описание службы Azure Information Protection Premium для государственных организаций предназначено для использования в качестве обзора нашего предложения в средах GCC High и DoD и будет охватывать варианты функций по сравнению с коммерческими предложениями Azure Information Protection Premium.

Azure Information Protection Premium для государственных организаций и сторонних служб

Некоторые службы Azure Information Protection Premium предоставляют возможность эффективно работать с сторонними приложениями и службами.

Эти сторонние приложения и службы могут включать хранение, передачу и обработку содержимого клиента вашей организации на сторонних системах, которые находятся за пределами инфраструктуры Azure Information Protection Premium, и поэтому не охватываются нашими обязательствами по обеспечению соответствия требованиям и защите данных.

Убедитесь, что вы просматриваете заявления о конфиденциальности и соответствии требованиям, предоставляемые третьими сторонами при оценке надлежащего использования этих служб для вашей организации.

Паритетность с коммерческими предложениями Azure Information Protection уровня "Премиум"

Сведения о известных существующих пробелах между Azure Information Protection Premium GCC High/DoD и коммерческим предложением см. в статье о доступности облачных функций для клиентов для государственных организаций США для Azure Information Protection.

Настройка Azure Information Protection для клиентов GCC High и DoD

Следующие сведения о конфигурации относятся ко всем решениям Azure Information Protection для клиентов GCC High и DoD, включая унифицированные решения по маркировке.

• Включение Rights Management для клиента
• Конфигурация DNS для шифрования (Windows)
• Конфигурация DNS для шифрования (Mac, iOS, Android)
• Миграция меток
• Настройка приложений AIP

Внимание

По состоянию на обновление за июль 2020 г. все новые клиенты GCC High в решении унифицированных меток Azure Information Protection могут использовать только общие меню и функции меню сканера.

Включение Rights Management для клиента

Чтобы шифрование работало правильно, служба Rights Management должна быть включена для клиента.

• Проверьте, включена ли служба Rights Management
  • Запуск PowerShell от имени администратора
  • Запуск Install-Module aadrm , если модуль AADRM не установлен
  • Подключение к службе с помощью Connect-aadrmservice -environmentname azureusgovernment
  • Запустите (Get-AadrmConfiguration).FunctionalState и проверьте, является ли состояние Enabled
• Если функциональное состояние равно Disabled, выполните команду Enable-Aadrm

Конфигурация DNS для шифрования (Windows)

Чтобы шифрование работало правильно, клиентские приложения Office должны подключаться к экземпляру GCC High/DoD службы и начальной загрузки. Чтобы перенаправить клиентские приложения в правильный экземпляр службы, администратор клиента должен настроить запись DNS SRV с информацией о URL-адресе Azure RMS. Без записи SRV DNS клиентское приложение попытается подключиться к экземпляру общедоступного облака по умолчанию и завершиться ошибкой.

Кроме того, предполагается, что пользователи будут входить с именем пользователя на основе домена, принадлежащий клиенту (например, joe@contoso.us), а не имени пользователя onmicrosoft (например: joe@contoso.onmicrosoft.us). Имя домена из имени пользователя используется для перенаправления DNS в правильный экземпляр службы.

• Получение идентификатора службы Rights Management
  • Запуск PowerShell от имени администратора
  • Если модуль AADRM не установлен, выполните команду Install-Module aadrm
  • Подключение к службе с помощью Connect-aadrmservice -environmentname azureusgovernment
  • Выполните команду (Get-aadrmconfiguration).RightsManagementServiceId , чтобы получить идентификатор службы Rights Management
• Войдите в поставщик DNS и перейдите к параметрам DNS для домена, чтобы добавить новую запись SRV.
  • Служба = _rmsredir
  • Протокол = _http
  • Name = _tcp
  • Target = [GUID].rms.aadrm.us (где GUID является идентификатором службы Rights Management)
  • Порт = 80
  • Приоритет, вес, секунды, TTL = значения по умолчанию
• Свяжите личный домен с клиентом в портал Azure. Связывание личного домена добавит запись в DNS, которая может занять несколько минут, чтобы проверить после добавления значения.
• Войдите в Центр администрирования Office и добавьте домен (например, contoso.us) для создания пользователя. В процессе проверки могут потребоваться дополнительные изменения DNS. После завершения проверки пользователи могут быть созданы.

Конфигурация DNS для шифрования (Mac, iOS, Android)

• Войдите в поставщик DNS и перейдите к параметрам DNS для домена, чтобы добавить новую запись SRV.
  • Служба = _rmsdisco
  • Протокол = _http
  • Name = _tcp
  • Target = api.aadrm.us
  • Порт = 80
  • Приоритет, вес, секунды, TTL = значения по умолчанию

Миграция меток

Клиентам GCC High и DoD необходимо перенести все существующие метки с помощью PowerShell. Традиционные методы миграции AIP не применимы для клиентов GCC High и DoD.

Используйте командлет New-Label для миграции имеющихся меток конфиденциальности. Перед началом миграции следуйте инструкциям по подключению и выполнению командлета с помощью Центра безопасности и соответствия требованиям.

Пример миграции, когда существующая метка конфиденциальности имеет шифрование:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Настройка приложений AIP

При работе с клиентом Azure Information Protection необходимо настроить один из следующих разделов реестра, чтобы указать приложения AIP в Windows в правильном независимом облаке. Обязательно используйте правильные значения для настройки.

• Настройка приложений AIP для клиента унифицированных меток
• Настройка приложений AIP для классического клиента

Настройка приложений AIP для клиента унифицированных меток

Применимо: только клиент унифицированных меток AIP

Узел реестра	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Имя	CloudEnvType
Value	0 = коммерческая (по умолчанию) 1 = GCC 2 = GCC High 3 = DoD
Тип	REG_DWORD

Примечание.

• Если этот раздел реестра пуст, неправильно или отсутствует, поведение возвращается к умолчанию (0 = коммерческая).
• Если ключ пуст или неправильно, в журнал также добавляется ошибка печати.
• Не удаляйте раздел реестра после удаления.

Настройка приложений AIP для классического клиента

Применимо: только классический клиент AIP

Узел реестра	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Имя	WebServiceUrl
Value	https://api.informationprotection.azure.us
Тип	REG_SZ (String)

Брандмауэры и сетевая инфраструктура

Если у вас есть брандмауэр или аналогичные сетевые устройства, настроенные для разрешения определенных подключений, используйте следующие параметры, чтобы обеспечить плавное взаимодействие для Azure Information Protection.

• Подключение между клиентами и службами TLS: не завершайте подключение между клиентами и службами TLS к URL-адресу rms.aadrm.us (например, для проверки уровня пакетов).

  Чтобы определить, завершается ли подключение клиента до достижения службы Azure Rights Management, можно использовать следующие команды PowerShell:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  Результат должен показать, что выдающий ЦС находится из ЦС Майкрософт, например: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US Если вы видите выдающееся имя ЦС, которое не является корпорацией Майкрософт, скорее всего, будет завершено безопасное подключение клиента к службе и необходимо перенастроить на брандмауэре.

• Скачивание меток и политик меток (только для классического клиента AIP): чтобы включить классический клиент Azure Information Protection для скачивания меток и политик меток, разрешить URL-адрес api.informationprotection.azure.us по протоколу HTTPS.

Дополнительные сведения см. в разделе:

• Конечные точки DoD для государственных организаций США Office 365
• Конечные точки Office 365 U.S. Government GCC High

Теги служб

Обязательно разрешите доступ ко всем портам для следующих тегов службы:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend