由世纪互联运营的 Office 365 的 Azure 信息保护支持

本文介绍由世纪互联运营的 Office 365 的 Azure 信息保护 (AIP) 支持与商业产品/服务的 AIP 之间的差异，以及为位于中国的客户配置 AIP 的具体说明（包括如何安装信息保护扫描程序和管理内容扫描作业）。

世纪互联运营的 Office 365 的 API 与商业产品/服务的 API 之间的差异

虽然我们的目标是通过世纪互联产品/服务运营的 Office 365 的 AIP 为中国客户提供所有功能，但有一些缺失的功能需要注意。

以下列表是世纪互联运营的 Office 365 的 API 与商业产品/服务的 API 之间的差异：

• Active Directory Rights Management Services (AD RMS) 仅在 Microsoft 365 应用企业版（内部版本 11731.10000 或更高版本）中受支持。 Office Professional Plus 不支持 AD RMS。

• 目前无法从 AD RMS 迁移到 AIP。

• 支持与商业云中的用户共享受保护的电子邮件。

• 目前无法与商业云中的用户共享文档和电子邮件附件。 这包括由商业云中的世纪互联用户运营的 Office 365、由商业云中的世纪互联用户以及拥有个人 RMS 许可证的用户运营的非 Office 365。

• SharePoint 的 IRM（受 IRM 保护的网站和库）当前不可用。

• 目前无法使用 AD RMS 的 移动设备扩展。

• Azure 中国世纪互联不支持移动查看器。

• 中国客户无法使用合规门户的扫描程序区域。 使用 PowerShell 命令而不是在门户中执行操作，例如管理和运行内容扫描作业。

• 由世纪互联运营的 Office 365 中的 AIP 终结点不同于其他云服务所需的终结点。 需要从客户端到以下终结点的网络连接：

  • 下载标签和标签策略：*.protection.partner.outlook.cn
  • Azure Rights Management 服务：*.aadrm.cn

• 用户的文档跟踪和吊销当前不可用。

为位于中国的客户配置 AIP

为位于中国的客户配置 AIP：

1. 为租户启用 Rights Management。

2. 添加 Microsoft 信息保护同步服务服务主体。

3. 配置 DNS 加密。

4. 安装和配置 AIP 统一标记客户端。

5. 在 Windows 上配置 AIP 应用。

6. 安装信息保护扫描程序并管理内容扫描作业。

步骤 1：为租户启用 Rights Management

若要使加密正常工作，必须为租户启用 RMS。

1. 检查是否已启用 RMS：

   1. 以管理员身份启动 PowerShell。
   2. 如果未安装 AIPService 模块，请运行 Install-Module AipService。
   3. 使用 Import-Module AipService 导入模块。
   4. 使用 Connect-AipService -environmentname azurechinacloud 连接到服务。
   5. 运行 (Get-AipServiceConfiguration).FunctionalState 并检查状态是否为 Enabled。

2. 如果功能状态为 Disabled，请运行 Enable-AipService。

步骤 2：添加 Microsoft 信息保护同步服务的服务主体

默认情况下，“Microsoft 信息保护同步服务”的服务主体在 Azure 中国租户中不可用，但 Azure 信息保护需要此服务主体。 通过 Azure Az PowerShell 模块手动创建此服务主体。

1. 如果没有安装 Azure Az 模块，安装此模块或使用预安装 Azure Az 模块的资源，例如 Azure Cloud Shell。 有关详细信息，请查看安装 Azure Az PowerShell 模块。

2. 使用 Connect-AzAccount cmdlet 和 azurechinacloud 环境名称连接到服务：

   Connect-azaccount -environmentname azurechinacloud
   

3. 使用 New-AzADServicePrincipal cmdlet 和 Microsoft Purview 信息保护同步服务的 870c4f2e-85b6-4d43-bdda-6ed9a579b725 应用程序 ID 手动创建 Microsoft 信息保护同步服务服务主体：

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. 添加服务主体后，向服务添加所需的相关权限。

步骤 3：配置 DNS 加密

若要使加密正常工作，Office 客户端应用程序必须连接到中国的服务实例并从此处启动。 若要将客户端应用程序重定向到正确的服务实例，租户管理员须配置 DNS SRV 记录，并附带有关 Azure RMS URL 的信息。 如果没有 DNS SRV 记录，客户端应用程序将默认尝试连接到公有云实例，但会失败。

此外，假设用户将使用基于租户拥有的域的用户名（例如 joe@contoso.cn）而不是 onmschina 用户名（例如 joe@contoso.onmschina.cn）登录。 用户名中的域名用于 DNS 重定向到正确的服务实例。

配置 DNS 加密 - Windows

1. 获取 RMS ID：

   1. 以管理员身份启动 PowerShell。
   2. 如果未安装 AIPService 模块，请运行 Install-Module AipService。
   3. 使用 Connect-AipService -environmentname azurechinacloud 连接到服务。
   4. 运行 (Get-AipServiceConfiguration).RightsManagementServiceId 以获取 RMS ID。

2. 登录到 DNS 提供程序，导航到域的 DNS 设置，然后添加新的 SRV 记录。

   • 服务 = _rmsredir
   • 协议 = _http
   • 名称 = _tcp
   • 目标 = [GUID].rms.aadrm.cn（其中 GUID 是 RMS ID）
   • 优先级、权重、秒数、TTL = 默认值

3. 将自定义域与 Azure 门户中的租户相关联。 这将在 DNS 中添加一个条目，在将值添加到 DNS 设置后，可能需要几分钟的时间才能进行验证。

4. 使用相应的全局管理员凭据登录到 Microsoft 365 管理中心，然后添加用于创建用户的域（例如 contoso.cn）。 在验证过程中，可能需要进行其他 DNS 更改。 验证完成后，便可创建用户。

配置 DNS 加密 - Mac、iOS、Android

登录到 DNS 提供程序，导航到域的 DNS 设置，然后添加新的 SRV 记录。

• 服务 = _rmsdisco
• 协议 = _http
• 名称 = _tcp
• 目标 = api.aadrm.cn
• 端口 = 80
• 优先级、权重、秒数、TTL = 默认值

步骤 4：安装和配置 AIP 统一标记客户端

从 Microsoft 下载中心下载并安装 AIP 统一标记客户端。

有关详细信息，请参阅：

• AIP 文档
• AIP 版本历史记录和支持策略
• AIP 系统需求
• AIP 快速入门：部署 AIP 客户端
• AIP 管理员指南
• AIP 用户指南
• 了解敏感度标签

步骤 5：在 Windows 上配置 AIP 应用

Windows 上的 AIP 应用需要以下注册表项，以将它们指向 Azure 中国的正确主权云：

• 注册表节点 = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• 名称 = CloudEnvType
• 值 = 6（默认值 = 0）
• “类型”= REG_DWORD

重要

请确保在卸载后不要删除注册表项。 如果键为空、不正确或不存在，则功能将作为默认值（默认值 = 0 表示商业云）。 如果该键为空或不正确，则还会向日志添加打印错误。

步骤 6：安装信息保护扫描程序并管理内容扫描作业

安装 Microsoft Purview 信息保护扫描程序以扫描网络和内容共享中的敏感数据，并应用组织策略中配置的分类和保护标签。

配置和管理内容扫描作业时，使用以下过程，而不是商业产品/服务使用的 Microsoft Purview 合规门户。

有关详细信息，请参阅了解信息保护扫描程序和仅使用 PowerShell 管理内容扫描作业。

安装和配置扫描程序：

1. 登录到将要运行扫描程序的 Windows Server 计算机。 使用具有本地管理员权限并具有写入到 SQL Server master 数据库权限的帐户。

2. 首先在 PowerShell 已关闭的情况下进行操作。 如果你以前安装了 AIP 客户端和扫描程序，请确保 AIPScanner 服务已停止。

3. 使用“以管理员身份运行”选项打开 Windows PowerShell 会话。

4. 运行 Install-AIPScanner cmdlet，指定要在其中为 Azure 信息保护扫描程序创建数据库的 SQL Server 实例，并为扫描程序群集指定一个有意义的名称。

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   提示

   可以使用与 Install-AIPScanner 命令中相同的群集名称，将多个扫描程序节点关联到同一群集。 将同一群集用于多个扫描程序节点使多个扫描程序能够协同执行扫描。

5. 使用“管理工具”“服务”验证服务现在是否已安装。

   已安装的服务被命名为 Azure信息保护扫描程序，并被配置为使用你创建的扫描程序服务帐户运行。

6. 获取要用于扫描程序的 Azure 令牌。 扫描程序可以使用 Microsoft Entra 令牌对 Azure 信息保护服务进行身份验证，这样，扫描程序便能够以非交互方式运行。

   1. 打开 Azure 门户，创建一个 Microsoft Entra 应用程序来指定用于身份验证的访问令牌。 有关详细信息，请参阅如何以非交互方式为 Azure 信息保护标记文件。

      提示

      为 Set-AIPAuthentication 命令创建和配置 Microsoft Entra 应用程序时，“请求获取 API 权限”窗格显示“我的组织使用的 API”选项卡，而不是“Microsoft API”选项卡。选择“我的组织使用的 API”，然后选择“Azure Rights Management 服务”。

   2. 在 Windows Server 计算机中，如果你的扫描程序服务帐户已就安装授予了“本地登录”权限，使用此帐户登录并启动 PowerShell 会话。

      如果无法为你的扫描程序服务帐户授予安装时所需的“本地登录”权限，请根据如何以非交互方式为 Azure 信息保护标记文件中所述，结果 OnBehalfOf 参数使用 Set-AIPAuthentication。

   3. 运行 Set-AIPAuthentication，指定从 Microsoft Entra 应用程序复制的值：

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   例如：

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   扫描程序现在有一个令牌，用于向 Microsoft Entra ID 进行身份验证。 此令牌的有效期为一年、两年或永不过期，具体取决于 Microsoft Entra ID 中的“Web 应用/API”客户端密码配置。 令牌过期后，必须重复此过程。

7. 运行 Set-AIPScannerConfiguration cmdlet 将扫描程序设置为以脱机模式运行。 运行：

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. 运行 Set-AIPScannerContentScanJob cmdlet 创建默认的内容扫描作业。

   Set-AIPScannerContentScanJob cmdlet 中唯一必需的参数是 Enforce。 但是，此时你可能想要为内容扫描作业定义其他设置。 例如：

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   上述语法在你继续进行配置时配置以下设置：

   • 将扫描程序运行计划保留为“手动”
   • 设置要根据敏感度标记策略发现的信息类型
   • 不要强制实施敏感度标记策略
   • 使用为敏感度标记策略定义的默认标签，根据内容自动标记文件
   • 不要允许重新标记文件
   • 在扫描和自动标记时保留文件详细信息，包括“修改日期”、“上次修改日期”和“修改者”值
   • 设置扫描程序以在运行时排除 .msg 和 .tmp 文件
   • 将默认所有者设置为运行扫描程序时要使用的帐户

9. 使用 Add-AIPScannerRepository cmdlet 定义要在内容扫描作业中扫描的存储库。 例如，运行：

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   根据要添加的存储库类型使用以下语法之一：

   • 对于网络共享，请使用 \\Server\Folder。
   • 对于 SharePoint 库，请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder。
   • 对于本地路径：C:\Folder
   • 对于 UNC 路径：\\Server\Folder

   注意

   不支持通配符，也不支持 WebDav 位置。

   要稍后修改存储库，改用 Set-AIPScannerRepository cmdlet。

根据需要继续执行以下步骤：

• 运行发现循环并查看扫描程序的报表
• 使用 PowerShell 配置扫描程序以应用分类和保护
• 使用 PowerShell 通过扫描程序配置 DLP 策略

下表列出了与安装扫描程序和管理内容扫描作业相关的 PowerShell cmdlet：

Cmdlet	说明
Add-AIPScannerRepository	将新的存储库添加到内容扫描作业。
Get-AIPScannerConfiguration	返回有关群集的详细信息。
Get-AIPScannerContentScanJob	获取有关内容扫描作业的详细信息。
Get-AIPScannerRepository	获取有关为内容扫描作业定义的存储库的详细信息。
Remove-AIPScannerContentScanJob	删除内容扫描作业。
Remove-AIPScannerRepository	从内容扫描作业中删除存储库。
Set-AIPScannerContentScanJob	定义内容扫描作业的设置。
Set-AIPScannerRepository	定义内容扫描作业中现有存储库的设置。

有关详细信息，请参阅：

• 了解信息保护扫描程序
• 配置和安装信息保护扫描程序
• 仅使用 PowerShell 来管理内容扫描作业