Azure 信息保护高级版政府服务说明
注意
为提供统一、简化的客户体验,Azure 门户中的 Azure 信息保护经典客户端和标签管理已于 2021 年 9 月 31 日对 GCC、GCC-H 和 DoD 客户弃用。
经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。
所有当前 Azure 信息保护经典客户端客户均须迁移到 Microsoft Purview 信息保护统一标签平台并升级到统一标签客户端。 在迁移博客中了解更多信息。
如何使用此服务说明
Azure 信息保护统一标记适用于 GCC、GCC High 和 DoD 客户。
Azure 信息保护高级版政府服务说明旨在概述我们在 GCC High 和 DoD 环境中的产品/服务,同时还涵盖与 Azure 信息保护高级版商业产品/服务相比存在哪些功能变化。
Azure 信息保护高级版政府与第三方服务
某些 Azure 信息保护高级版服务提供与第三方应用程序和服务无缝协作的功能。
此类第三方应用程序和服务可能涉及在 Azure 信息保护高级版基础结构以外的第三方系统中存储、传输和处理贵组织的客户内容,因而它们不受我们合规与数据保护承诺的约束。
在评估贵组织是否正确使用这些服务时,请务必查看第三方提供的隐私与合规声明。
与 Azure 信息保护高级版商业产品/服务保持平等
有关 Azure 信息保护高级版 GCC High/DoD 与商业产品/服务之间已知现有差异的信息,请参阅针对 Azure 信息保护的美国政府客户的云功能可用性。
为 GCC High 和 DoD 客户配置 Azure 信息保护
以下配置详细信息与面向 GCC High 和 DoD 客户的所有 Azure 信息保护解决方案(包括统一标记解决方案)均相关。
重要
自 2020 年 7 月更新起,Azure 信息保护统一标记解决方案的所有新 GCC High 客户只能使用“常规”菜单和“扫描程序”菜单功能。
为租户启用权限管理
若要使加密功能正常工作,则须为租户启用权限管理服务。
- 检查权限管理服务是否已启用
- 以管理员身份启动 PowerShell
- 如果未安装 AADRM 模块,请运行
Install-Module aadrm - 使用
Connect-aadrmservice -environmentname azureusgovernment连接到服务 - 运行
(Get-AadrmConfiguration).FunctionalState并检查状态是否为Enabled
- 如果功能状态为
Disabled,请运行Enable-Aadrm
用于加密的 DNS 配置 (Windows)
若要使加密功能正常工作,Office 客户端应用程序须连接到该服务的 GCC、GCC High/DoD 实例并从那里启动。 若要将客户端应用程序重定向到正确的服务实例,租户管理员须配置 DNS SRV 记录,并附带有关 Azure RMS URL 的信息。 如果没有 DNS SRV 记录,客户端应用程序默认会尝试连接到公有云实例并失败。
此外,假设用户会使用基于租户拥有的域(例如:joe@contoso.us)的用户名来登录,而不是 onmicrosoft 用户名(例如:joe@contoso.onmicrosoft.us)。 用户名中的域名将用于通过 DNS 重定向到正确的服务实例。
- 获取权限管理服务 ID
- 以管理员身份启动 PowerShell
- 如果未安装 AADRM 模块,请运行
Install-Module aadrm - 使用
Connect-aadrmservice -environmentname azureusgovernment连接到服务 - 运行
(Get-aadrmconfiguration).RightsManagementServiceId以获取权限管理服务 ID
- 登录到 DNS 提供程序,然后导航到此域的 DNS 设置以添加新的 SRV 记录
- 服务 =
_rmsredir - 协议 =
_http - 名称 =
_tcp - 目标 =
[GUID].rms.aadrm.us(其中 GUID 为权限管理服务 ID) - 端口 =
80 - 优先级、权重、秒数、TTL = 默认值
- 服务 =
- 将自定义域与 Azure 门户中的租户相关联。 关联自定义域后将在 DNS 中添加一个条目,而添加值后可能需要几分钟时间以便进行验证。
- 登录到 Office 管理中心并添加域(例如:contoso.us),以创建用户。 在验证过程中,可能需执行更多 DNS 更改。 验证完成后,便可创建用户。
用于加密的 DNS 配置(Mac、iOS、Android)
- 登录到 DNS 提供程序,然后导航到此域的 DNS 设置以添加新的 SRV 记录
- 服务 =
_rmsdisco - 协议 =
_http - 名称 =
_tcp - 目标 =
api.aadrm.us - 端口 =
80 - 优先级、权重、秒数、TTL = 默认值
- 服务 =
标签迁移
GCC High 和 DoD 客户均需使用 PowerShell 迁移所有现有标签。 传统 AIP 迁移方法不适用于 GCC High 和 DoD 客户。
使用 New-Label cmdlet 迁移现有敏感度标签。 在开始迁移之前,请务必按照 说明使用安全与合规中心 连接和运行 cmdlet。
现有敏感度标签具有加密功能时的迁移示例:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
AIP 应用配置
使用 Azure 信息保护客户端时,必须配置以下注册表项之一,从而将 Windows 上的 AIP 应用指向正确的主权云。 请务必为你的设置使用正确的值。
统一标记客户端的 AIP 应用配置
相关对象:仅限 AIP 统一标记客户端
| 注册表节点 | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Name | CloudEnvType |
| 值 | 0 = 商业版(默认值) 1 = GCC 2 = GCC High 3 = DoD |
| 类型 | REG_DWORD |
注意
- 如果此注册表键为空、不正确或缺失,此行为则会恢复为默认值(0 = 商业版)。
- 如果该键为空或不正确,则还会向日志添加打印错误。
- 卸载后,请勿删除此注册表键。
经典客户端的 AIP 应用配置
相关对象:仅限 AIP 经典客户端
| 注册表节点 | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| Name | WebServiceUrl |
| 值 | https://api.informationprotection.azure.us |
| 类型 | REG_SZ (String) |
防火墙和网络基础结构
如果已配置防火墙或类似的干预网络设备从而允许特定连接,请使用以下设置来确保 Azure 信息保护的正常通信。
TLS 客户端到服务连接:请勿终止与 rms.aadrm.us URL 的 TLS 客户端到服务连接(例如,用于执行数据包级检查)。
可使用以下 PowerShell 命令来帮助确定客户端连接是否在到达 Azure 权限管理服务之前便已终止:
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer结果应显示发证 CA 来自 Microsoft CA(例如:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US)。 如果看到并非 Microsoft 颁发的 CA 名称,则可能表示安全客户端到服务连接已终止,且需在防火墙上重新进行配置。下载标签和标签策略(仅限 AIP 经典客户端):若要允许 Azure 信息保护经典客户端下载标签和标签策略,请允许通过 HTTPS 的 api.informationprotection.azure.us URL。
有关详细信息,请参阅:
服务标记
务必允许访问以下服务标记的所有对应端口:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend