21Vianet tarafından sağlanan Office 365 için Azure Information Protection desteği
Bu makale, 21Vianet tarafından sağlanan Office 365 için Azure Information Protection (AIP) desteği ile ticari teklifler arasındaki farkların yanı sıra Çin'deki müşteriler için AIP'yi yapılandırmaya yönelik bilgi koruma tarayıcısını yükleme ve içerik tarama işlerini yönetme gibi belirli yönergeleri kapsar.
21Vianet tarafından sağlanan Office 365 için AIP ile ticari teklifler arasındaki farklar
Hedefimiz, 21Vianet tarafından sağlanan Office 365 için AIP teklifimizle Tüm ticari özellikleri ve işlevleri Çin'deki müşterilere sunmak olsa da, vurgulamak istediğimiz bazı eksik işlevler vardır.
Aşağıda, 21Vianet tarafından sağlanan Office 365 için AIP ile ticari tekliflerimiz arasındaki boşlukların listesi yer alır:
Active Directory Rights Management Services (AD RMS) şifrelemesi yalnızca Kurumlar için Microsoft 365 Uygulamaları (derleme 11731.10000 veya üzeri) desteklenir. Office Profesyonel Plus, AD RMS'i desteklemez.
AD RMS'den AIP'ye geçiş şu anda kullanılamıyor.
Korumalı e-postaların ticari buluttaki kullanıcılarla paylaşılması desteklenir.
Belgelerin ve e-posta eklerinin ticari buluttaki kullanıcılarla paylaşılması şu anda kullanılamıyor. Buna ticari buluttaki 21Vianet kullanıcıları tarafından sağlanan Office 365, ticari buluttaki 21Vianet kullanıcıları tarafından sağlanan Office 365 dışı kullanıcılar ve Kişiler için RMS lisansı olan kullanıcılar dahildir.
SharePoint ile IRM (IRM korumalı siteler ve kitaplıklar) şu anda kullanılamıyor.
AD RMS için Mobil Cihaz Uzantısı şu anda kullanılamıyor.
Mobil Görüntüleyici, Azure China 21Vianet tarafından desteklenmez.
Uyumluluk portalının tarayıcı alanı Çin'deki müşteriler tarafından kullanılamıyor. portalda içerik tarama işlerinizi yönetme ve çalıştırma gibi eylemler gerçekleştirmek yerine PowerShell komutlarını kullanın.
21Vianet tarafından sağlanan Office 365'teki AIP uç noktaları, diğer bulut hizmetleri için gereken uç noktalardan farklıdır. İstemcilerden aşağıdaki uç noktalara ağ bağlantısı gereklidir:
- Etiket ve etiket ilkelerini indirin:
*.protection.partner.outlook.cn
- Azure Rights Management hizmeti:
*.aadrm.cn
- Etiket ve etiket ilkelerini indirin:
kullanıcılar tarafından Belge İzleme ve İptal şu anda kullanılamıyor.
Çin'deki müşteriler için AIP'yi yapılandırma
Çin'deki müşteriler için AIP'yi yapılandırmak için:
Kiracı için Rights Management'i etkinleştirin.
Microsoft Information Protection Eşitleme Hizmeti hizmet sorumlusunu ekleyin.
DNS şifrelemeyi yapılandırın.
AIP birleşik etiketleme istemcisini yükleyin ve yapılandırın.
Windows'da AIP uygulamalarını yapılandırın.
Bilgi koruma tarayıcısını yükleyin ve içerik tarama işlerini yönetin.
1. Adım: Kiracı için Rights Management'ı etkinleştirme
Şifrelemenin düzgün çalışması için kiracı için RMS'nin etkinleştirilmesi gerekir.
RMS'nin etkinleştirilip etkinleştirilmediğini denetleyin:
- PowerShell'i yönetici olarak başlatın.
- AIPService modülü yüklü değilse komutunu çalıştırın
Install-Module AipService
. - kullanarak
Import-Module AipService
modülü içeri aktarın. - kullanarak
Connect-AipService -environmentname azurechinacloud
hizmete Bağlan. - komutunu çalıştırın
(Get-AipServiceConfiguration).FunctionalState
ve durumunun olupEnabled
olmadığını denetleyin.
İşlevsel durum ise
Disabled
komutunu çalıştırınEnable-AipService
.
2. Adım: Microsoft Information Protection Eşitleme Hizmeti hizmet sorumlusunu ekleme
Microsoft Information Protection Eşitleme Hizmeti hizmet sorumlusu, Azure Çin kiracılarında varsayılan olarak kullanılamaz ve Azure Information Protection için gereklidir. Bu hizmet sorumlusunu Azure Az PowerShell modülü aracılığıyla el ile oluşturun.
Azure Az modülü yüklü değilse yükleyin veya Azure Az modülünün önceden yüklenmiş olarak geldiği Azure Cloud Shell gibi bir kaynak kullanın. Daha fazla bilgi için Azure Az PowerShell modülünü yükleme bölümüne bakın.
Bağlan-AzAccount cmdlet'ini ve
azurechinacloud
ortam adını kullanarak hizmete Bağlan:Connect-azaccount -environmentname azurechinacloud
New-AzADServicePrincipal cmdlet'ini ve Microsoft Purview Bilgi Koruması Eşitleme Hizmeti'nin
870c4f2e-85b6-4d43-bdda-6ed9a579b725
uygulama kimliğini kullanarak Microsoft Information Protection Eşitleme Hizmeti hizmet sorumlusunu el ile oluşturun:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
Hizmet sorumlusunu ekledikten sonra, hizmete gereken ilgili izinleri ekleyin.
3. Adım: DNS şifrelemeyi yapılandırma
Şifrelemenin düzgün çalışması için Office istemci uygulamalarının hizmetin Çin örneğine bağlanması ve oradan önyükleme yapması gerekir. İstemci uygulamalarını doğru hizmet örneğine yeniden yönlendirmek için kiracı yöneticisinin Azure RMS URL'si hakkında bilgi içeren bir DNS SRV kaydı yapılandırması gerekir. DNS SRV kaydı olmadan istemci uygulaması varsayılan olarak genel bulut örneğine bağlanmayı dener ve başarısız olur.
Ayrıca, kullanıcıların kullanıcı adını değil onmschina
kiracıya ait etki alanını (örneğin, joe@contoso.cn
) temel alan bir kullanıcı adıyla oturum açacağı varsayımı da vardır. joe@contoso.onmschina.cn
Dns'in doğru hizmet örneğine yeniden yönlendirmesi için kullanıcı adından etki alanı adı kullanılır.
DNS şifrelemeyi yapılandırma - Windows
RMS kimliğini alın:
- PowerShell'i yönetici olarak başlatın.
- AIPService modülü yüklü değilse komutunu çalıştırın
Install-Module AipService
. - kullanarak
Connect-AipService -environmentname azurechinacloud
hizmete Bağlan. - RMS kimliğini almak için komutunu çalıştırın
(Get-AipServiceConfiguration).RightsManagementServiceId
.
DNS sağlayıcınızda oturum açın, etki alanının DNS ayarlarına gidin ve yeni bir SRV kaydı ekleyin.
- Hizmet =
_rmsredir
- Protokol =
_http
- Ad =
_tcp
- Hedef =
[GUID].rms.aadrm.cn
(burada GUID, RMS kimliğidir) - Öncelik, Ağırlık, Saniye, TTL = varsayılan değerler
- Hizmet =
Özel etki alanını Azure portalındaki kiracıyla ilişkilendirin. Bu, DNS ayarlarına değeri ekledikten sonra doğrulanabilen bir DNS girdisi ekler.
Microsoft 365 yönetim merkezi ilgili genel yönetici kimlik bilgileriyle oturum açın ve kullanıcı oluşturmak için etki alanını (örneğin,
contoso.cn
) ekleyin. Doğrulama işleminde ek DNS değişiklikleri gerekebilir. Doğrulama tamamlandıktan sonra kullanıcılar oluşturulabilir.
DNS şifrelemesini yapılandırma - Mac, iOS, Android
DNS sağlayıcınızda oturum açın, etki alanının DNS ayarlarına gidin ve yeni bir SRV kaydı ekleyin.
- Hizmet =
_rmsdisco
- Protokol =
_http
- Ad =
_tcp
- Hedef =
api.aadrm.cn
- Bağlantı noktası =
80
- Öncelik, Ağırlık, Saniye, TTL = varsayılan değerler
4. Adım: AIP birleşik etiketleme istemcisini yükleme ve yapılandırma
Microsoft İndirme Merkezi'nden AIP birleşik etiketleme istemcisini indirin ve yükleyin.
Daha fazla bilgi için bkz.
- AIP belgeleri
- AIP sürüm geçmişi ve destek ilkesi
- AIP sistem gereksinimleri
- AIP hızlı başlangıcı: AIP istemcisini dağıtma
- AIP yönetici kılavuzu
- AIP kullanıcı kılavuzu
- Duyarlılık etiketleri hakkında daha fazla bilgi
5. Adım: Windows'ta AIP uygulamalarını yapılandırma
Windows üzerindeki AIP uygulamaları, Azure Çin için doğru bağımsız buluta işaret etmek için aşağıdaki kayıt defteri anahtarına ihtiyaç duyar:
- Kayıt defteri düğümü =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Ad =
CloudEnvType
- Değer =
6
(varsayılan = 0) - Tür =
REG_DWORD
Önemli
Kaldırma sonrasında kayıt defteri anahtarını silmediğinizden emin olun. Anahtar boş, yanlış veya mevcut değilse, işlev varsayılan değer (ticari bulut için varsayılan değer = 0) olarak davranır. Anahtar boş veya yanlışsa, günlüğe bir yazdırma hatası da eklenir.
6. Adım: Bilgi koruma tarayıcısını yükleme ve içerik tarama işlerini yönetme
Ağ ve içerik paylaşımlarınızı hassas veriler için taramak ve kuruluşunuzun ilkesinde yapılandırılan sınıflandırma ve koruma etiketlerini uygulamak için Microsoft Purview Bilgi Koruması tarayıcısını yükleyin.
İçerik tarama işlerinizi yapılandırırken ve yönetirken, ticari teklifler tarafından kullanılan Microsoft Purview uyumluluk portalı yerine aşağıdaki yordamı kullanın.
Daha fazla bilgi için bkz . Bilgi koruma tarayıcısı hakkında bilgi edinme ve yalnızca PowerShell kullanarak içerik tarama işlerinizi yönetme.
Tarayıcınızı yüklemek ve yapılandırmak için:
Tarayıcıyı çalıştıracak Windows Server bilgisayarında oturum açın. Yerel yönetici haklarına sahip olan ve SQL Server ana veritabanına yazma izinleri olan bir hesap kullanın.
PowerShell kapalı olarak başlayın. AIP istemcisini ve tarayıcısını daha önce yüklediyseniz, AIPScanner hizmetinin durduruldığından emin olun.
Yönetici olarak çalıştır seçeneğiyle bir Windows PowerShell oturumu açın.
Azure Information Protection tarayıcısı için veritabanı oluşturulacak SQL Server örneğinizi ve tarayıcı kümeniz için anlamlı bir ad belirterek Install-AIPScanner cmdlet'ini çalıştırın.
Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
İpucu
Birden çok tarayıcı düğümlerini aynı kümeyle ilişkilendirmek için Install-AIPScanner komutunda aynı küme adını kullanabilirsiniz. Birden çok tarayıcı düğümü için aynı kümeyi kullanmak, taramalarınızı gerçekleştirmek için birden çok tarayıcının birlikte çalışmasını sağlar.
hizmetin artık Yönetici istrative Tools>Services kullanarak yüklendiğini doğrulayın.
Yüklü hizmet, Azure Information Protection Tarayıcısı olarak adlandırılır ve oluşturduğunuz tarayıcı hizmeti hesabı kullanılarak çalıştırılacak şekilde yapılandırılır.
Tarayıcınızla kullanmak için bir Azure belirteci alın. Microsoft Entra belirteci, tarayıcının Azure Information Protection hizmetinde kimlik doğrulaması yapmasına olanak sağlayarak tarayıcının etkileşimli olmayan bir şekilde çalışmasını sağlar.
Azure portalını açın ve kimlik doğrulaması için bir erişim belirteci belirtmek üzere bir Microsoft Entra uygulaması oluşturun. Daha fazla bilgi için bkz . Azure Information Protection için dosyaları etkileşimli olmayan şekilde etiketleme.
Windows Server bilgisayarından, tarayıcı hizmet hesabınıza yükleme için yerel olarak oturum açma hakkı verildiyse, bu hesapla oturum açın ve bir PowerShell oturumu başlatın.
Tarayıcı hizmet hesabınıza yükleme için yerel olarak oturum açma hakkı verilemiyorsa, Dosyaları Azure Information Protection için etkileşimli olmayan olarak etiketleme bölümünde açıklandığı gibi Set-AIPAuthentication ile OnBehalfOf parametresini kullanın.
Microsoft Entra uygulamanızdan kopyalanan değerleri belirterek Set-AIPAuthentication komutunu çalıştırın:
Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Örneğin:
$pscreds = Get-Credential CONTOSO\scanner Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
Tarayıcının artık Microsoft Entra Id kimlik doğrulaması için bir belirteci vardır. Bu belirteç, Microsoft Entra Id'de Web uygulaması /API istemci gizli dizisi yapılandırmanıza göre bir yıl, iki yıl veya hiçbir zaman geçerlidir. Belirtecin süresi dolduğunda bu yordamı yinelemeniz gerekir.
Tarayıcıyı çevrimdışı modda çalışacak şekilde ayarlamak için Set-AIPScannerConfiguration cmdlet'ini çalıştırın. Çalıştır:
Set-AIPScannerConfiguration -OnlineConfiguration Off
Varsayılan bir içerik tarama işi oluşturmak için Set-AIPScannerContentScanJob cmdlet'ini çalıştırın.
Set-AIPScannerContentScanJob cmdlet'inde gerekli olan tek parametre Zorla'dır. Ancak, şu anda içerik tarama işiniz için diğer ayarları tanımlamak isteyebilirsiniz. Örneğin:
Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
Yukarıdaki söz dizimi, yapılandırmaya devam ederken aşağıdaki ayarları yapılandırıyor:
- Tarayıcının zamanlamayı el ile çalıştırmasını sağlar
- Duyarlılık etiketleme ilkesine göre bulunabilecek bilgi türlerini ayarlar
- Duyarlılık etiketleme ilkesini zorunlu kılmaz
- Duyarlılık etiketleme ilkesi için tanımlanan varsayılan etiketi kullanarak dosyaları içeriğe göre otomatik olarak etiketler
- Dosyaların yeniden etiketlenmesine izin vermiyor
- Değerlere göre değiştirme tarihi, son değiştirme ve değiştirme de dahil olmak üzere tarama ve otomatik etiketleme sırasında dosya ayrıntılarını korur
- Tarayıcıyı çalıştırırken .msg ve .tmp dosyalarını dışlamak için ayarlar
- Tarayıcıyı çalıştırırken kullanmak istediğiniz hesabın varsayılan sahibini ayarlar
İçerik tarama işinizde taramak istediğiniz depoları tanımlamak için Add-AIPScannerRepository cmdlet'ini kullanın. Örneğin şunu çalıştırın:
Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Eklediğiniz deponun türüne bağlı olarak aşağıdaki söz dizimlerinden birini kullanın:
- Ağ paylaşımı için kullanın
\\Server\Folder
. - SharePoint kitaplığı için kullanın
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Yerel yol için:
C:\Folder
- UNC yolu için:
\\Server\Folder
Not
Joker karakterler desteklenmez ve WebDav konumları desteklenmez.
Daha sonra depoyu değiştirmek için bunun yerine Set-AIPScannerRepository cmdlet'ini kullanın.
- Ağ paylaşımı için kullanın
Gerekirse aşağıdaki adımlarla devam edin:
- Keşif döngüsü çalıştırma ve tarayıcının raporlarını görüntüleme
- Tarayıcıyı sınıflandırma ve koruma uygulayacak şekilde yapılandırmak için PowerShell kullanma
- Tarayıcı ile DLP ilkesi yapılandırmak için PowerShell kullanma
Aşağıdaki tabloda, tarayıcıyı yükleme ve içerik tarama işlerinizi yönetmeyle ilgili PowerShell cmdlet'leri listelenir:
Cmdlet | Açıklama |
---|---|
Add-AIPScannerRepository | İçerik tarama işinize yeni bir depo ekler. |
Get-AIPScannerConfiguration | Kümenizle ilgili ayrıntıları döndürür. |
Get-AIPScannerContentScanJob | İçerik tarama işinizle ilgili ayrıntıları alır. |
Get-AIPScannerRepository | İçerik tarama işiniz için tanımlanan depolarla ilgili ayrıntıları alır. |
Remove-AIPScannerContentScanJob | İçerik tarama işinizi siler. |
Remove-AIPScannerRepository | İçerik tarama işinizden bir depo kaldırır. |
Set-AIPScannerContentScanJob | İçerik tarama işinizin ayarlarını tanımlar. |
Set-AIPScannerRepository | İçerik tarama işinizdeki mevcut bir deponun ayarlarını tanımlar. |
Daha fazla bilgi için bkz.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin