Azure 資訊保護 進階版 Government 服務描述

注意

為了提供統一且簡化的客戶體驗，自 2021 年 9 月 31 日起，Azure 入口網站中的 Azure 資訊保護 傳統用戶端和標籤管理已被取代為 GCC、GCC-H 和 DoD 客戶。

傳統用戶端將於 2022 年 3 月 31 日正式淘汰，並停止運作。

所有目前的 Azure 資訊保護 傳統用戶端客戶都必須移轉至 Microsoft Purview 資訊保護 統一卷標平臺，並升級至統一卷標用戶端。 在我們的移轉部落格中深入瞭解。

如何使用此服務描述

Azure 資訊保護 統一標籤適用於 GCC、GCC High 和 DoD 客戶。

Azure 資訊保護 進階版 Government 服務描述旨在作為我們在 GCC High 和 DoD 環境中供應專案的概觀，並將涵蓋與 Azure 資訊保護 進階版 商業供應專案相比的功能變化。

Azure 資訊保護 進階版 Government 和第三方服務

某些 Azure 資訊保護 進階版 服務提供與第三方應用程式和服務順暢地運作的能力。

這些第三方應用程式和服務可能涉及在 Azure 資訊保護 進階版 基礎結構外部的第三方系統上儲存、傳輸及處理貴組織的客戶內容，因此我們的合規性和數據保護承諾並未涵蓋。

在評估貴組織適當使用這些服務時，請務必檢閱第三方所提供的隱私權和合規性聲明。

與 Azure 資訊保護 進階商業供應專案同位

如需 Azure 資訊保護 進階版 GCC High/DoD 與商業供應項目之間已知現有差距的資訊，請參閱適用於 Azure 資訊保護 的美國政府客戶雲端功能可用性。

設定 GCC High 和 DoD 客戶的 Azure 資訊保護

下列設定詳細數據與 GCC High 和 DoD 客戶的所有 Azure 資訊保護 解決方案相關，包括統一卷標解決方案。

• 為租用戶啟用 Rights Management
• 加密的 DNS 組態 （Windows）
• 加密的 DNS 組態（Mac、iOS、Android）
• 標籤移轉
• AIP 應用程式設定

重要

自 2020 年 7 月更新起，Azure 資訊保護 統一卷標解決方案的所有新 GCC High 客戶都只能使用 [一般] 功能表和 [掃描器] 功能表功能。

為租用戶啟用 Rights Management

若要讓加密正常運作，必須為租用戶啟用 Rights Management Service。

• 檢查 Rights Management 服務是否已啟用
  • 以 管理員 istrator 身分啟動 PowerShell
  • 如果未安裝 AADRM 模組，請執行Install-Module aadrm
  • 使用服務 連線Connect-aadrmservice -environmentname azureusgovernment
  • 執行 (Get-AadrmConfiguration).FunctionalState 並檢查狀態是否為 Enabled
• 如果功能狀態為 Disabled，請執行 Enable-Aadrm

加密的 DNS 組態 （Windows）

若要讓加密正常運作，Office 用戶端應用程式必須連線到服務的 GCC、GCC High/DoD 實例，並從該處啟動程式。 若要將用戶端應用程式重新導向至正確的服務實例，租用戶系統管理員必須使用 Azure RMS URL 的相關信息來設定 DNS SRV 記錄。 如果沒有 DNS SRV 記錄，用戶端應用程式預設會嘗試連線到公用雲端實例，並失敗。

此外，假設用戶會根據租用戶擁有的網域來登入用戶名稱（例如： joe@contoso.us），而不是 onmicrosoft 用戶名稱（例如：： joe@contoso.onmicrosoft.us）。 來自使用者名稱的功能變數名稱用於 DNS 重新導向至正確的服務實例。

• 取得 Rights Management Service 識別符
  • 以 管理員 istrator 身分啟動 PowerShell
  • 如果未安裝 AADRM 模組，請執行 Install-Module aadrm
  • 使用服務 連線Connect-aadrmservice -environmentname azureusgovernment
  • 執行 (Get-aadrmconfiguration).RightsManagementServiceId 以取得 Rights Management Service 識別碼
• 登入您的 DNS 提供者，並流覽至網域的 DNS 設定以新增 SRV 記錄
  • 服務 = _rmsredir
  • 通訊協定 = _http
  • Name = _tcp
  • 目標 = [GUID].rms.aadrm.us （其中 GUID 是 Rights Management Service ID）
  • 埠 = 80
  • Priority、Weight、Seconds、TTL = 預設值
• 將自定義網域與 Azure 入口網站 中的租用戶產生關聯。 建立自定義網域的關聯將會在 DNS 中新增專案，這可能需要幾分鐘的時間才能確認新增值。
• 使用對應的全域管理員認證登入 Office 管理員 中心，並新增網域 （例如：contoso.us） 來建立使用者。 在驗證程式中，可能需要更多 DNS 變更。 驗證完成後，即可建立使用者。

加密的 DNS 組態（Mac、iOS、Android）

• 登入您的 DNS 提供者，並流覽至網域的 DNS 設定以新增 SRV 記錄
  • 服務 = _rmsdisco
  • 通訊協定 = _http
  • Name = _tcp
  • 目標 = api.aadrm.us
  • 埠 = 80
  • Priority、Weight、Seconds、TTL = 預設值

標籤移轉

GCC High 和 DoD 客戶需要使用 PowerShell 移轉所有現有的標籤。 傳統 AIP 移轉方法 不適用於 GCC High 和 DoD 客戶。

使用 New-Label Cmdlet 來移轉現有的敏感度標籤。 開始移轉之前，請務必遵循 使用安全性與合規性中心 連線和執行 Cmdlet 的指示。

現有敏感度標籤具有加密時的移轉範例：

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

AIP 應用程式設定

使用 Azure 資訊保護 用戶端時，您必須設定下列其中一個登錄機碼，將 Windows 上的 AIP 應用程式指向正確的主權雲端。 請務必針對您的設定使用正確的值。

• 統一標籤用戶端的 AIP 應用程式設定
• 傳統用戶端的 AIP 應用程式設定

統一標籤用戶端的 AIP 應用程式設定

相關：僅限 AIP 統一卷標用戶端

登錄節點	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
名稱	CloudEnvType
值	0 = 商業 （預設值） 1 = GCC 2 = GCC High 3 = DoD
類型	REG_DWORD

注意

• 如果此登錄機碼是空的、不正確或遺失的，則行為會還原為預設值 （0 = Commercial）。
• 如果索引鍵是空的或不正確的，列印錯誤也會新增至記錄檔。
• 卸載之後，請務必不要刪除登錄機碼。

傳統用戶端的 AIP 應用程式設定

相關：僅限 AIP 傳統用戶端

登錄節點	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
名稱	WebServiceUrl
值	https://api.informationprotection.azure.us
類型	REG_SZ （字串）

防火牆和網路基礎結構

如果您有設定為允許特定連線的防火牆或類似的插播網路裝置，請使用下列設定來確保 Azure 資訊保護 的順暢通訊。

• TLS 用戶端對服務連線：請勿終止與 rms.aadrm.us URL 的 TLS 用戶端對服務連線（例如，執行封包層級檢查）。

  您可以使用下列 PowerShell 命令來協助您判斷用戶端連線是否在到達 Azure Rights Management 服務之前終止：

  $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  結果應該會顯示發行 CA 來自 Microsoft CA，例如： CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US。 如果您看到不是來自 Microsoft 的發行 CA 名稱，可能是您的安全客戶端對服務連線正在終止，而且必須在防火牆上重新設定。

• 下載標籤和標籤原則（僅限 AIP 傳統用戶端）：若要讓 Azure 資訊保護 傳統用戶端下載標籤和標籤原則，請允許透過 HTTPS api.informationprotection.azure.us URL。

如需詳細資訊，請參閱

• Office 365 美國政府 DoD 端點
• Office 365 美國政府 GCC High 端點

服務標籤

請務必允許存取下列 服務標籤的所有埠：

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend