由 21Vianet 運作的 Office 365 的 Azure 資訊保護 支援

本文涵蓋 Azure 資訊保護 （AIP） 支援 21Vianet 所運作的 Office 365 與商業供應專案之間的差異，以及為中國客戶設定 AIP 的特定指示，包括如何安裝資訊保護掃描儀及管理內容掃描工作。

由 21Vianet 營運的 Office 365 版 AIP 與商業供應專案之間的差異

雖然我們的目標是將AIP for Office 365 由 21Vianet 供應項目運作的 AIP 提供給中國客戶，但我們想要強調的一些遺漏功能。

以下是由 21Vianet 營運的 Office 365 與我們的商業供應專案之間的 AIP 差距清單：

• 只有 Microsoft 365 Apps 企業版 支援 Active Directory Rights Management Services （AD RMS） 加密（組建 11731.10000 或更新版本）。 Office 專業版 Plus 不支援 AD RMS。

• 目前無法使用從 AD RMS 移轉至 AIP。

• 支援在商業雲端中與使用者共享受保護的電子郵件。

• 目前無法使用與商業雲端中用戶共用檔和電子郵件附件。 這包括由商業雲端中 21Vianet 使用者運作的 Office 365、由商業雲端中的 21Vianet 使用者所操作的非 Office 365，以及具有個人版 RMS 授權的使用者。

• 目前無法使用具有 SharePoint 的 IRM（受 IRM 保護的網站和文檔庫）。

• AD RMS 的行動裝置擴充功能目前無法使用。

• Azure China 21Vianet 不支持行動 查看器 。

• 合規性入口網站的掃描器區域無法供中國客戶使用。 使用 PowerShell 命令 ，而不是在入口網站中執行動作，例如管理和執行內容掃描作業。

• 由 21Vianet 運作的 Office 365 中的 AIP 端點與其他雲端服務所需的端點不同。 需要從用戶端到下列端點的網路連線：

  • 下載標籤和標籤原則： *.protection.partner.outlook.cn
  • Azure Rights Management 服務： *.aadrm.cn

• 使用者目前無法使用 文件追蹤和撤銷。

為中國的客戶設定 AIP

為中國客戶設定 AIP：

1. 為租用戶啟用 Rights Management。

2. 新增 Microsoft 資訊保護 Sync Service 服務主體。

3. 設定 DNS 加密。

4. 安裝和設定 AIP 統一標籤用戶端。

5. 在 Windows 上設定 AIP 應用程式。

6. 安裝資訊保護掃描器並管理內容掃描作業。

步驟 1：為租用戶啟用 Rights Management

若要讓加密正常運作，您必須為租用戶啟用 RMS。

1. 檢查 RMS 是否已啟用：

   1. 以系統管理員身分啟動PowerShell。
   2. 如果未安裝 AIPService 模組， 請執行 Install-Module AipService。
   3. 使用 匯入 Import-Module AipService模組。
   4. 使用 Connect-AipService -environmentname azurechinacloud連線 至服務。
   5. 執行 (Get-AipServiceConfiguration).FunctionalState 並檢查狀態是否為 Enabled。

2. 如果功能狀態為 Disabled，請執行 Enable-AipService。

步驟 2：新增 Microsoft 資訊保護 Sync Service 服務主體

根據預設，Azure 中國租使用者不提供 Microsoft 資訊保護 Sync Service 服務主體，且 Azure 資訊保護 為必要專案。 透過 Azure Az PowerShell 模組手動建立此服務主體。

1. 如果您沒有安裝 Azure Az 模組，請加以安裝或使用 Azure Az 模組預安裝的資源，例如 Azure Cloud Shell。 如需詳細資訊，請參閱安裝 Azure PowerShell 模組。

2. 使用 連線-AzAccount Cmdlet 和環境azurechinacloud名稱 連線 至服務：

   Connect-azaccount -environmentname azurechinacloud
   

3. 使用 New-AzADServicePrincipal Cmdlet 和 870c4f2e-85b6-4d43-bdda-6ed9a579b725 Microsoft Purview 資訊保護 Sync Service 的應用程式識別符，手動建立 Microsoft 資訊保護 Sync Service 服務主體：

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. 新增服務主體之後，將所需的相關許可權新增至服務。

步驟 3：設定 DNS 加密

若要讓加密正常運作，Office 用戶端應用程式必須連線到中國的服務實例，並從該處啟動程式。 若要將用戶端應用程式重新導向至正確的服務實例，租用戶系統管理員必須使用 Azure RMS URL 的相關信息來設定 DNS SRV 記錄。 如果沒有 DNS SRV 記錄，用戶端應用程式預設會嘗試連線到公用雲端實例，而且將會失敗。

此外，假設用戶會根據租用戶擁有的網域（例如 joe@contoso.cn）， 而不是 onmschina 使用者名稱登入 （例如， joe@contoso.onmschina.cn）。 來自使用者名稱的功能變數名稱用於 DNS 重新導向至正確的服務實例。

設定 DNS 加密 - Windows

1. 取得 RMS 識別碼：

   1. 以系統管理員身分啟動PowerShell。
   2. 如果未安裝 AIPService 模組， 請執行 Install-Module AipService。
   3. 使用 Connect-AipService -environmentname azurechinacloud連線 至服務。
   4. 執行 (Get-AipServiceConfiguration).RightsManagementServiceId 以取得 RMS 識別碼。

2. 登入您的 DNS 提供者，流覽至網域的 DNS 設定，然後新增 SRV 記錄。

   • 服務 = _rmsredir
   • 通訊協定 = _http
   • Name = _tcp
   • 目標 = [GUID].rms.aadrm.cn （其中 GUID 是 RMS 識別子）
   • Priority、Weight、Seconds、TTL = 預設值

3. 將自定義網域與 Azure 入口網站 中的租用戶產生關聯。 這會在 DNS 中新增專案，這可能需要幾分鐘的時間才能在您將值新增至 DNS 設定之後進行驗證。

4. 使用對應的全域管理員認證登入 Microsoft 365 系統管理中心，並新增網域（例如contoso.cn），以建立使用者。 在驗證程式中，可能需要其他 DNS 變更。 驗證完成後，即可建立使用者。

設定 DNS 加密 - Mac、iOS、Android

登入您的 DNS 提供者，流覽至網域的 DNS 設定，然後新增 SRV 記錄。

• 服務 = _rmsdisco
• 通訊協定 = _http
• Name = _tcp
• 目標 = api.aadrm.cn
• 埠 = 80
• Priority、Weight、Seconds、TTL = 預設值

步驟 4：安裝和設定 AIP 統一標籤用戶端

從 Microsoft 下載中心下載並安裝 AIP 統一標籤用戶端。

如需詳細資訊，請參閱

• AIP 檔
• AIP 版本歷程記錄和支持原則
• AIP 系統需求
• AIP 快速入門：部署 AIP 用戶端
• AIP 系統管理員指南
• AIP 使用者指南
• 深入了解敏感度標籤

步驟 5：在 Windows 上設定 AIP 應用程式

Windows 上的 AIP 應用程式需要下列登錄機碼，以指向 Azure 中國的正確主權雲端：

• 登錄節點 = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Name = CloudEnvType
• Value = 6 （預設值 = 0）
• 類型 = REG_DWORD

重要

在卸載之後，請確定您不會刪除登錄機碼。 如果索引鍵是空的、不正確的或不存在的，則功能會作為預設值（商業雲端的預設值 = 0）。 如果索引鍵是空的或不正確的，列印錯誤也會新增至記錄檔。

步驟 6：安裝資訊保護掃描器和管理內容掃描作業

安裝 Microsoft Purview 資訊保護 掃描器以掃描您的網路和內容共用中是否有敏感數據，並套用組織原則中所設定的分類和保護標籤。

設定和管理內容掃描作業時，請使用下列程式，而不是商業供應專案所使用的 Microsoft Purview 合規性入口網站。

如需詳細資訊，請參閱 瞭解資訊保護掃描器 和使用 PowerShell管理內容掃描工作。

若要安裝與設定掃描器：

1. 登入將執行掃描器的 Windows Server 電腦。 使用具有本機系統管理員許可權且有權寫入 SQL Server master 資料庫的帳戶。

2. 從 PowerShell 關閉開始。 如果您先前已安裝 AIP 用戶端和掃描器，請確定 AIPScanner 服務已停止。

3. 使用 [ 以系統管理員 身分執行] 選項開啟 Windows PowerShell 會話。

4. 執行 Install-AIPScanner Cmdlet，指定要為其建立 Azure 資訊保護 掃描器資料庫的 SQL Server 實例，以及掃描儀叢集有意義的名稱。

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   提示

   您可以在 Install-AIPScanner 命令中使用相同的叢集名稱，將多個掃描器節點與相同的叢集產生關聯。 針對多個掃描器節點使用相同的叢集，可讓多個掃描器一起運作以執行掃描。

5. 確認現在已使用 管理員 istrative Tools>Services 來安裝服務。

   已安裝的服務名為 Azure 資訊保護 掃描器，並使用您所建立的掃描器服務帳戶來設定為執行。

6. 取得要與您的掃描器搭配使用的 Azure 令牌。 Microsoft Entra 令牌可讓掃描器向 Azure 資訊保護 服務進行驗證，讓掃描器以非互動方式執行。

   1. 開啟 Azure 入口網站 並建立 Microsoft Entra 應用程式，以指定用於驗證的存取令牌。 如需詳細資訊，請參閱如何以非互動方式為 Azure 資訊保護 標記檔案。

      提示

      建立及設定 Set-AIPAuthentication 命令的 Microsoft Entra 應用程式時，[要求 API 許可權] 窗格會顯示 [我的組織使用] 索引卷標而非 [Microsoft API] 索引卷標的 API。選取我的組織用來選取 [Azure Rights Management Services] 的 API。

   2. 從 Windows Server 計算機，如果您的掃描器服務帳戶已獲得 安裝本機登入 許可權，請使用此帳戶登入並啟動 PowerShell 工作階段。

      如果您的掃描儀服務帳戶無法授與本機登入許可權以進行安裝，請使用 OnBehalfOf 參數搭配 Set-AIPAuthentication，如如何以非互動方式為 Azure 資訊保護 標記檔案中所述。

   3. 執行 Set-AIPAuthentication，指定從 Microsoft Entra 應用程式複製的值：

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   例如：

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   掃描器現在有令牌可向 Microsoft Entra ID 進行驗證。 根據您在 Microsoft Entra ID 中 Web 應用程式 /API 用戶端密碼的設定，此令牌的有效期限為一年、兩年或永不。 令牌到期時，您必須重複此程式。

7. 執行 Set-AIPScannerConfiguration Cmdlet，將掃描器設定為在離線模式中運作。 請執行：

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. 執行 Set-AIPScannerContentScanJob Cmdlet 來建立預設的內容掃描作業。

   Set-AIPScannerContentScanJob Cmdlet 中唯一必要的參數是 Enforce。 不過，您可能想要目前定義內容掃描作業的其他設定。 例如：

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   上述語法會在您繼續設定時設定下列設定：

   • 讓掃描器執行排程保持 手動
   • 設定要根據敏感度標籤原則探索的資訊類型
   • 不會強制執行敏感度標籤原則
   • 使用針對敏感度標籤原則定義的預設標籤，根據內容自動標記檔案
   • 不允許重新標記檔案
   • 掃描和自動套用標籤時保留檔案詳細數據，包括 修改日期、 上次修改和 值 修改
   • 設定掃描器在執行時排除.msg和.tmp檔案
   • 將預設擁有者設定為執行掃描器時要使用的帳戶

9. 使用 Add-AIPScannerRepository Cmdlet 來定義您要在內容掃描作業中掃描的存放庫。 例如，執行：

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   依您要新增的存放庫類型，使用下列其中一個語法：

   • 針對網路共用，請使用 \\Server\Folder。
   • 針對 SharePoint 文件庫，請使用 http://sharepoint.contoso.com/Shared%20Documents/Folder。
   • 針對本機路徑： C:\Folder
   • 針對 UNC 路徑： \\Server\Folder

   注意

   不支援通配符，且不支援 WebDav 位置。

   若要稍後修改存放庫，請改用 Set-AIPScannerRepository Cmdlet。

視需要繼續進行下列步驟：

• 對掃描器執行探索週期並檢視報表
• 使用 PowerShell 設定掃描器以套用分類和保護
• 使用 PowerShell 設定掃描器的 DLP 原則

下表列出與安裝掃描器和管理內容掃描作業相關的 PowerShell Cmdlet：

指令程式	描述
Add-AIPScannerRepository	將新的存放庫新增至內容掃描作業。
Get-AIPScannerConfiguration	傳回叢集的詳細數據。
Get-AIPScannerContentScanJob	取得內容掃描作業的詳細數據。
Get-AIPScannerRepository	取得針對內容掃描作業定義的存放庫詳細數據。
Remove-AIPScannerContentScanJob	刪除內容掃描作業。
Remove-AIPScannerRepository	從內容掃描作業中移除存放庫。
Set-AIPScannerContentScanJob	定義內容掃描作業的設定。
Set-AIPScannerRepository	定義內容掃描作業中現有存放庫的設定。

如需詳細資訊，請參閱

• 了解資訊保護掃描器
• 設定及安裝資訊保護掃描器
• 僅使用PowerShell管理內容掃描作業