Beskrivning av Azure Information Protection Premium Government Service
Kommentar
För att ge en enhetlig och strömlinjeformad kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella för GCC-, GCC-H- och DoD-kunder från och med den 31 september 2021.
Den klassiska klienten kommer att dras tillbaka officiellt och kommer att sluta fungera den 31 mars 2022.
Alla aktuella klassiska Azure Information Protection-klientkunder måste migrera till microsoft Purview Information Protection enhetliga etiketteringsplattform och uppgradera till den enhetliga etiketteringsklienten. Läs mer i vår migreringsblogg.
Så här använder du den här tjänstbeskrivningen
Enhetlig etikettering i Azure Information Protection är tillgängligt för GCC-, GCC High- och DoD-kunder.
Beskrivningen av Azure Information Protection Premium Government-tjänsten är utformad för att fungera som en översikt över vårt erbjudande i GCC High- och DoD-miljöerna och kommer att omfatta funktionsvariationer jämfört med kommersiella Erbjudanden i Azure Information Protection Premium.
Azure Information Protection Premium Government och tjänster från tredje part
Vissa Azure Information Protection Premium-tjänster ger möjlighet att arbeta sömlöst med program och tjänster från tredje part.
Dessa program och tjänster från tredje part kan omfatta lagring, överföring och bearbetning av organisationens kundinnehåll i tredjepartssystem som ligger utanför Azure Information Protection Premium-infrastrukturen och därför inte omfattas av våra åtaganden om efterlevnad och dataskydd.
Kontrollera att du granskar sekretess- och efterlevnadspolicyerna som tillhandahålls av tredje part när du utvärderar lämplig användning av dessa tjänster för din organisation.
Paritet med Azure Information Protection premium kommersiella erbjudanden
Information om kända befintliga luckor mellan Azure Information Protection Premium GCC High/DoD och det kommersiella erbjudandet finns i Tillgänglighet för molnfunktioner för amerikanska myndighetskunder för Azure Information Protection.
Konfigurera Azure Information Protection för GCC High- och DoD-kunder
Följande konfigurationsinformation är relevant för alla Azure Information Protection-lösningar för GCC High- och DoD-kunder, inklusive enhetliga etiketteringslösningar.
- Aktivera Rights Management för klientorganisationen
- DNS-konfiguration för kryptering (Windows)
- DNS-konfiguration för kryptering (Mac, iOS, Android)
- Etikettmigrering
- Konfiguration av AIP-appar
Viktigt!
Från och med uppdateringen från juli 2020 kan alla nya GCC High-kunder i azure informationsskyddslösningen för enhetlig etikettering använda både allmänna meny- och skannermenyfunktioner.
Aktivera Rights Management för klientorganisationen
För att krypteringen ska fungera korrekt måste Rights Management-tjänsten vara aktiverad för klientorganisationen.
- Kontrollera om Rights Management-tjänsten är aktiverad
- Starta PowerShell som administratör
- Kör
Install-Module aadrmom AADRM-modulen inte är installerad - Anslut till tjänst med hjälp av
Connect-aadrmservice -environmentname azureusgovernment - Kör
(Get-AadrmConfiguration).FunctionalStateoch kontrollera om tillståndet ärEnabled
- Om funktionstillståndet är
Disabledkör duEnable-Aadrm
DNS-konfiguration för kryptering (Windows)
För att krypteringen ska fungera korrekt måste Office-klientprogram ansluta till GCC, GCC High/DoD-instansen av tjänsten och bootstrap därifrån. Om du vill omdirigera klientprogram till rätt tjänstinstans måste klientadministratören konfigurera en DNS SRV-post med information om Azure RMS-URL:en. Utan DNS SRV-posten försöker klientprogrammet ansluta till den offentliga molninstansen som standard och misslyckas.
Antagandet är också att användarna loggar in med användarnamnet baserat på den innehavarägda domänen (till exempel: joe@contoso.us), och inte användarnamnet onmicrosoft (till exempel: joe@contoso.onmicrosoft.us). Domännamnet från användarnamnet används för DNS-omdirigering till rätt tjänstinstans.
- Hämta Rights Management-tjänst-ID:t
- Starta PowerShell som administratör
- Om AADRM-modulen inte är installerad kör du
Install-Module aadrm - Anslut till tjänst med hjälp av
Connect-aadrmservice -environmentname azureusgovernment - Kör
(Get-aadrmconfiguration).RightsManagementServiceIdför att hämta Rights Management-tjänst-ID:t
- Logga in på DNS-providern och gå till DNS-inställningarna för domänen för att lägga till en ny SRV-post
- Tjänst =
_rmsredir - Protokoll =
_http - Namn =
_tcp - Target =
[GUID].rms.aadrm.us(där GUID är Rights Management Service-ID) - Port =
80 - Prioritet, Vikt, Sekunder, TTL = standardvärden
- Tjänst =
- Associera den anpassade domänen med klientorganisationen i Azure-portalen. Om du kopplar den anpassade domänen läggs en post till i DNS, vilket kan ta några minuter att verifiera när du har lagt till värdet.
- Logga in på Administrationscenter för Office med motsvarande autentiseringsuppgifter för global administratör och lägg till domänen (exempel: contoso.us) för att skapa användare. I verifieringsprocessen kan vissa fler DNS-ändringar krävas. När verifieringen är klar kan användare skapas.
DNS-konfiguration för kryptering (Mac, iOS, Android)
- Logga in på DNS-providern och gå till DNS-inställningarna för domänen för att lägga till en ny SRV-post
- Tjänst =
_rmsdisco - Protokoll =
_http - Namn =
_tcp - Mål =
api.aadrm.us - Port =
80 - Prioritet, Vikt, Sekunder, TTL = standardvärden
- Tjänst =
Etikettmigrering
GCC High- och DoD-kunder måste migrera alla befintliga etiketter med hjälp av PowerShell. Traditionella AIP-migreringsmetoder gäller inte för GCC High- och DoD-kunder.
Använd cmdleten Ny etikett för att migrera dina befintliga känslighetsetiketter. Följ anvisningarna för att ansluta och köra cmdleten med Security & Compliance Center innan du kommer igång med migreringen.
Migreringsexempel när en befintlig känslighetsetikett har kryptering:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
Konfiguration av AIP-appar
När du arbetar med Azure Information Protection-klienten måste du konfigurera en av följande registernycklar för att peka dina AIP-appar i Windows till rätt nationellt moln. Se till att använda rätt värden för konfigurationen.
- Konfiguration av AIP-appar för klienten för enhetlig etikettering
- Konfiguration av AIP-appar för den klassiska klienten
Konfiguration av AIP-appar för klienten för enhetlig etikettering
Relevant för: Endast AIP-klienten för enhetlig etikettering
| Registernod | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Namn | CloudEnvType |
| Värde | 0 = Kommersiell (standard) 1 = GCC 2 = GCC High 3 = DoD |
| Typ | REG_DWORD |
Kommentar
- Om den här registernyckeln är tom, felaktig eller saknas återgår beteendet till standardvärdet (0 = Kommersiell).
- Om nyckeln är tom eller felaktig läggs även ett utskriftsfel till i loggen.
- Se till att du inte tar bort registernyckeln efter avinstallationen.
Konfiguration av AIP-appar för den klassiska klienten
Relevant för: Endast den klassiska AIP-klienten
| Registernod | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Namn | WebServiceUrl |
| Värde | https://api.informationprotection.azure.us |
| Typ | REG_SZ (sträng) |
Brandväggar och nätverksinfrastruktur
Om du har en brandvägg eller liknande mellanliggande nätverksenheter som är konfigurerade för att tillåta specifika anslutningar använder du följande inställningar för att säkerställa smidig kommunikation för Azure Information Protection.
TLS-klient-till-tjänst-anslutning: Avsluta inte TLS-klient-till-tjänst-anslutningen till rms.aadrm.us-URL:en (till exempel för att utföra inspektion på paketnivå).
Du kan använda följande PowerShell-kommandon för att avgöra om klientanslutningen avslutas innan den når Azure Rights Management-tjänsten:
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerResultatet bör visa att den utfärdande certifikatutfärdare kommer från en Microsoft CA, till exempel:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Om du ser ett utfärdande CA-namn som inte kommer från Microsoft är det troligt att din säkra klient-till-tjänst-anslutning avslutas och måste konfigureras om i brandväggen.Ladda ned etiketter och etikettprinciper (endast den klassiska AIP-klienten): Om du vill att den klassiska Azure Information Protection-klienten ska kunna ladda ned etiketter och etikettprinciper tillåter du att URL:en api.informationprotection.azure.us via HTTPS.
Mer information finns i:
Tjänsttaggar
Se till att tillåta åtkomst till alla portar för följande tjänsttaggar:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend