由世纪互联运营的 办公室 365 Microsoft Purview 信息保护

  • 项目

本文介绍由世纪互联运营的 办公室 365 Microsoft Purview 信息保护支持与以前称为 Azure 信息保护(AIP)的商业产品/服务之间的差异,以及中国客户的具体配置说明,包括如何安装信息保护扫描程序和管理内容扫描作业。

世纪互联与商业产品/服务之间的差异

虽然我们的目标是向中国客户提供Microsoft Purview 信息保护支持世纪互联运营的 办公室 365 产品/服务,但缺少一些功能:

  • Active Directory Rights Management Services (AD RMS) 仅在 Microsoft 365 应用企业版(内部版本 11731.10000 或更高版本)中受支持。 Office Professional Plus 不支持 AD RMS。

  • 目前无法从 AD RMS 迁移到 AIP。

  • 支持与商业云中的用户共享受保护的电子邮件。

  • 目前无法与商业云中的用户共享文档和电子邮件附件。 这包括由商业云中的世纪互联用户运营的 Office 365、由商业云中的世纪互联用户以及拥有个人 RMS 许可证的用户运营的非 Office 365。

  • SharePoint 的 IRM(受 IRM 保护的网站和库)当前不可用。

  • 目前无法使用 AD RMS 的 移动设备扩展。

  • Azure 中国世纪互联不支持移动查看器

  • 中国客户无法使用合规门户的扫描程序区域。 使用 PowerShell 命令而不是在门户中执行操作,例如管理和运行内容扫描作业。

  • 世纪互联环境中Microsoft Purview 信息保护客户端的网络终结点不同于其他云服务所需的终结点。 需要从客户端到以下终结点的网络连接:

    • 下载标签和标签策略:*.protection.partner.outlook.cn
    • Azure Rights Management 服务:*.aadrm.cn

  • 用户的文档跟踪和吊销当前不可用

世纪互联中客户的配置

若要为世纪互联运营的 办公室 365 配置Microsoft Purview 信息保护支持:

  1. 为租户启用 Rights Management

  2. 添加 Microsoft 信息保护同步服务服务主体

  3. 配置 DNS 加密

  4. 安装和配置Microsoft Purview 信息保护客户端

  5. 配置 Windows 设置

  6. 安装信息保护扫描程序并管理内容扫描作业

步骤 1:为租户启用 Rights Management

若要使加密正常工作,必须为租户启用权限管理服务(RMS)。

  1. 检查是否已启用 RMS:

    1. 以管理员身份启动 PowerShell。
    2. 如果未安装 AIPService 模块,请运行 Install-Module AipService
    3. 使用 Import-Module AipService 导入模块。
    4. 使用 Connect-AipService -environmentname azurechinacloud 连接到服务。
    5. 运行 (Get-AipServiceConfiguration).FunctionalState 并检查状态是否为 Enabled

  2. 如果功能状态为 Disabled,请运行 Enable-AipService

步骤 2:添加 Microsoft 信息保护同步服务的服务主体

默认情况下,“Microsoft 信息保护同步服务”的服务主体在 Azure 中国租户中不可用,但 Azure 信息保护需要此服务主体。 通过 Azure Az PowerShell 模块手动创建此服务主体。

  1. 如果没有安装 Azure Az 模块,安装此模块或使用预安装 Azure Az 模块的资源,例如 Azure Cloud Shell。 有关详细信息,请查看安装 Azure Az PowerShell 模块

  2. 使用 Connect-AzAccount cmdlet 和 azurechinacloud 环境名称连接到服务:

    Connect-azaccount -environmentname azurechinacloud

  3. 使用 New-AzADServicePrincipal cmdlet 和 Microsoft Purview 信息保护同步服务的 870c4f2e-85b6-4d43-bdda-6ed9a579b725 应用程序 ID 手动创建 Microsoft 信息保护同步服务服务主体

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. 添加服务主体后,向服务添加所需的相关权限。

步骤 3:配置 DNS 加密

若要使加密正常工作,Office 客户端应用程序必须连接到中国的服务实例并从此处启动。 若要将客户端应用程序重定向到正确的服务实例,租户管理员须配置 DNS SRV 记录,并附带有关 Azure RMS URL 的信息。 如果没有 DNS SRV 记录,客户端应用程序将默认尝试连接到公有云实例,但会失败。

此外,假设用户将使用基于租户拥有的域的用户名(例如 joe@contoso.cn)而不是 onmschina 用户名(例如 joe@contoso.onmschina.cn)登录。 用户名中的域名用于 DNS 重定向到正确的服务实例。

配置 DNS 加密 - Windows

  1. 获取 RMS ID:

    1. 以管理员身份启动 PowerShell。
    2. 如果未安装 AIPService 模块,请运行 Install-Module AipService
    3. 使用 Connect-AipService -environmentname azurechinacloud 连接到服务。
    4. 运行 (Get-AipServiceConfiguration).RightsManagementServiceId 以获取 RMS ID。

  2. 登录到 DNS 提供程序,导航到域的 DNS 设置,然后添加新的 SRV 记录。

    • 服务 = _rmsredir
    • 协议 = _http
    • 名称 = _tcp
    • 目标 = [GUID].rms.aadrm.cn(其中 GUID 是 RMS ID)
    • 优先级、权重、秒数、TTL = 默认值

  3. 将自定义域与 Azure 门户中的租户相关联。 这将在 DNS 中添加一个条目,在将值添加到 DNS 设置后,可能需要几分钟的时间才能进行验证。

  4. 使用相应的全局管理员凭据登录到 Microsoft 365 管理中心,然后添加用于创建用户的域(例如 contoso.cn)。 在验证过程中,可能需要进行其他 DNS 更改。 验证完成后,便可创建用户。

配置 DNS 加密 - Mac、iOS、Android

登录到 DNS 提供程序,导航到域的 DNS 设置,然后添加新的 SRV 记录。

  • 服务 = _rmsdisco
  • 协议 = _http
  • 名称 = _tcp
  • 目标 = api.aadrm.cn
  • 端口 = 80
  • 优先级、权重、秒数、TTL = 默认值

步骤 4:安装和配置标记客户端

Microsoft 下载中心下载并安装Microsoft Purview 信息保护客户端。

有关详细信息,请参阅:

步骤 5:配置 Windows 设置

Windows 需要以下注册表项进行身份验证才能指向 Azure 中国的正确主权云:

  • 注册表节点 = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • 名称 = CloudEnvType
  • 值 = 6(默认值 = 0)
  • “类型”= REG_DWORD

重要

请确保在卸载后不要删除注册表项。 如果键为空、不正确或不存在,则功能将作为默认值(默认值 = 0 表示商业云)。 如果该键为空或不正确,则还会向日志添加打印错误。

步骤 6:安装信息保护扫描程序并管理内容扫描作业

安装 Microsoft Purview 信息保护扫描程序以扫描网络和内容共享中的敏感数据,并应用组织策略中配置的分类和保护标签。

配置和管理内容扫描作业时,使用以下过程,而不是商业产品/服务使用的 Microsoft Purview 合规门户

有关详细信息,请参阅了解信息保护扫描程序仅使用 PowerShell 管理内容扫描作业

安装和配置扫描程序:

  1. 登录到将要运行扫描程序的 Windows Server 计算机。 使用具有本地管理员权限并具有写入到 SQL Server master 数据库权限的帐户。

  2. 首先在 PowerShell 已关闭的情况下进行操作。 如果以前安装了信息保护扫描程序,请确保停止Microsoft Purview 信息保护扫描程序服务。

  3. 使用“以管理员身份运行”选项打开 Windows PowerShell 会话

  4. 运行 Install-Scanner cmdlet,指定要在其中为Microsoft Purview 信息保护扫描程序创建数据库的 SQL Server 实例,并为扫描程序群集指定有意义的名称。

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>

    提示

    可以在 Install-Scanner 命令中使用 同一群集名称将多个扫描程序 节点关联到同一群集。 将同一群集用于多个扫描程序节点使多个扫描程序能够协同执行扫描。

  5. 使用“管理工具”“服务”验证服务现在是否已安装。

    已安装的服务Microsoft Purview 信息保护扫描程序命名,并配置为使用创建的扫描程序服务帐户运行。

  6. 获取要用于扫描程序的 Azure 令牌。 扫描程序可以使用 Microsoft Entra 令牌对 Azure 信息保护服务进行身份验证,这样,扫描程序便能够以非交互方式运行。

    1. 打开 Azure 门户,创建一个 Microsoft Entra 应用程序来指定用于身份验证的访问令牌。 有关详细信息,请参阅如何以非交互方式为 Azure 信息保护标记文件

      提示

      “设置身份验证 ”命令创建和配置 Microsoft Entra 应用程序时, “请求 API 权限 ”窗格显示 组织使用的 API,而不是 “Microsoft API ”选项卡。选择 组织用来 选择 Azure Rights Management Services 的 API。

    2. 在 Windows Server 计算机中,如果你的扫描程序服务帐户已就安装授予了“本地登录”权限,使用此帐户登录并启动 PowerShell 会话。

      如果无法向扫描程序服务帐户授予本地登录权限进行安装,请使用 OnBehalfOf 参数和 Set-Authentication,如如何以非交互方式为 Azure 信息保护标记文件中所述。

    3. 运行 Set-Authentication,指定从 Microsoft Entra 应用程序复制的值:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    例如:

    $pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    扫描程序现在有一个令牌,用于向 Microsoft Entra ID 进行身份验证。 此令牌的有效期为一年、两年或永不过期,具体取决于 Microsoft Entra ID 中的“Web 应用/API”客户端密码配置。 令牌过期后,必须重复此过程。

  7. 运行 Set-ScannerConfiguration cmdlet,将扫描程序设置为在脱机模式下运行。 运行:

    Set-ScannerConfiguration -OnlineConfiguration Off

  8. 运行 Set-ScannerContentScanJob cmdlet 以创建默认内容扫描作业。

    Set-ScannerContentScanJob cmdlet 中唯一必需的参数是 Enforce。 但是,此时你可能想要为内容扫描作业定义其他设置。 例如:

    Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    上述语法在你继续进行配置时配置以下设置:

    • 将扫描程序运行计划保留为“手动”
    • 设置要根据敏感度标记策略发现的信息类型
    • 不要强制实施敏感度标记策略
    • 使用为敏感度标记策略定义的默认标签,根据内容自动标记文件
    • 不要允许重新标记文件
    • 在扫描和自动标记时保留文件详细信息,包括“修改日期”、“上次修改日期”和“修改者”值
    • 设置扫描程序以在运行时排除 .msg 和 .tmp 文件
    • 将默认所有者设置为运行扫描程序时要使用的帐户

  9. 使用 Add-ScannerRepository cmdlet 定义要在内容扫描作业中扫描的存储库。 例如,运行:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    根据要添加的存储库类型使用以下语法之一:

    • 对于网络共享,请使用 \\Server\Folder
    • 对于 SharePoint 库,请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
    • 对于本地路径:C:\Folder
    • 对于 UNC 路径:\\Server\Folder

    注意

    不支持通配符,也不支持 WebDav 位置。

    若要稍后修改存储库,请改用 Set-ScannerRepository cmdlet。

根据需要继续执行以下步骤:

下表列出了与安装扫描程序和管理内容扫描作业相关的 PowerShell cmdlet:

Cmdlet 说明
Add-ScannerRepository 将新的存储库添加到内容扫描作业。
Get-ScannerConfiguration 返回有关群集的详细信息。
Get-ScannerContentScan 获取有关内容扫描作业的详细信息。
Get-ScannerRepository 获取有关为内容扫描作业定义的存储库的详细信息。
Remove-ScannerContentScan 删除内容扫描作业。
Remove-ScannerRepository 从内容扫描作业中删除存储库。
Set-ScannerContentScan 定义内容扫描作业的设置。
Set-ScannerRepository 定义内容扫描作业中现有存储库的设置。

有关详细信息,请参阅: