Azure 資訊保護支援由 21Vianet 營運的Office 365

本文涵蓋 Azure 資訊保護 (AIP) 支援由 21Vianet 營運Office 365與商業供應專案之間的差異，以及針對中國客戶設定 AIP 的特定指示，包括如何安裝資訊保護掃描器和管理內容掃描工作。

21Vianet 營運Office 365 AIP 與商業供應專案之間的差異

雖然我們的目標是使用 21Vianet 供應專案的 AIP for Office 365，將所有商業功能提供給中國的客戶，但我們想要反白顯示一些遺漏的功能。

下列清單包含從 2021 年 1 月起，由 21Vianet 營運Office 365 AIP 與商業供應專案之間的現有差距：

• 只有Microsoft 365 Apps 企業版 (組建 11731.10000 或更新版本的) 才支援 Active Directory Rights Management Services (AD RMS) 加密。 Office 專業增強版不支援 AD RMS。

• 目前無法從 AD RMS 移轉至 AIP。

• 支援與商業雲端中的使用者共用受保護的電子郵件。

• 目前無法與商業雲端中的使用者共用檔和電子郵件附件。 這包括Office 365由商業雲端中的 21Vianet 使用者、商業雲端中 21Vianet 使用者營運的非Office 365，以及具有個人版 RMS 授權的使用者。

• 目前無法使用 IRM 搭配 SharePoint (受 IRM 保護的網站和程式庫) 。

• AD RMS 的行動裝置擴充功能目前無法使用。

• Azure China 21Vianet 不支援 行動檢視器 。

• 合規性入口網站的掃描器區域無法供中國的客戶使用。 使用 PowerShell 命令， 而不是在入口網站中執行動作，例如管理和執行您的內容掃描工作。

• 由 21Vianet 營運Office 365中的 AIP 端點與其他雲端服務所需的端點不同。 需要從用戶端到下列端點的網路連線：

  • 下載標籤和標籤原則： *.protection.partner.outlook.cn
  • Azure Rights Management 服務： *.aadrm.cn

設定中國客戶的 AIP

若要為中國的客戶設定 AIP：

1. 啟用租使用者的 Rights Management。

2. 新增Microsoft 資訊保護同步服務主體。

3. 設定 DNS 加密。

4. 安裝和設定 AIP 統一標籤用戶端。

5. 在 Windows 上設定 AIP 應用程式。

6. 安裝資訊保護掃描器和管理內容掃描工作。

步驟 1：啟用租使用者的 Rights Management

若要讓加密正常運作，必須為租使用者啟用 RMS。

1. 檢查是否已啟用 RMS：

   1. 以系統管理員身分啟動 PowerShell。
   2. 如果未安裝 AIPService 模組，請執行 Install-Module AipService 。
   3. 使用 Import-Module AipService 匯入模組。
   4. 使用 Connect-AipService -environmentname azurechinacloud 連線到服務。
   5. 執行 (Get-AipServiceConfiguration).FunctionalState ，並檢查狀態是否為 Enabled 。

2. 如果功能狀態為 Disabled ，請執行 Enable-AipService 。

步驟 2：新增Microsoft 資訊保護同步服務主體

根據預設，Azure 中國租使用者中無法使用Microsoft 資訊保護同步服務服務主體，Azure 資訊保護需要此服務主體。 透過 Azure Az PowerShell 模組手動建立此服務主體。

1. 如果您未安裝 Azure Az 模組，請加以安裝或使用預先安裝 Azure Az 模組的資源，例如Azure Cloud Shell。 如需詳細資訊，請 參閱安裝 Azure Az PowerShell 模組。

2. 使用 Connect-AzAccount Cmdlet 和環境 azurechinacloud 名稱連線到服務：

   Connect-azaccount -environmentname azurechinacloud
   

3. 使用New-AzADServicePrincipal Cmdlet 和 870c4f2e-85b6-4d43-bdda-6ed9a579b725Microsoft Purview 資訊保護 Sync Service的應用程式識別碼，手動建立Microsoft 資訊保護同步服務主體：

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. 新增服務主體之後，請將所需的相關許可權新增至服務。

步驟 3：設定 DNS 加密

若要讓加密正常運作，Office 用戶端應用程式必須連線到服務中國實例，並從該處啟動載入。 若要將用戶端應用程式重新導向至正確的服務實例，租使用者系統管理員必須使用 Azure RMS URL 的相關資訊來設定 DNS SRV 記錄。 如果沒有 DNS SRV 記錄，用戶端應用程式預設會嘗試連線到公用雲端實例，而且將會失敗。

此外，假設使用者會以租使用者擁有網域 (的使用者名稱登入，例如， joe@contoso.cn) ，而不是 onmschina 使用者名稱 (例如 joe@contoso.onmschina.cn ，) 。 使用者名稱中的功能變數名稱用於將 DNS 重新導向至正確的服務實例。

設定 DNS 加密 - Windows

1. 取得 RMS 識別碼：

   1. 以系統管理員身分啟動 PowerShell。
   2. 如果未安裝 AIPService 模組，請執行 Install-Module AipService 。
   3. 使用 Connect-AipService -environmentname azurechinacloud 連線到服務。
   4. 執行 (Get-AipServiceConfiguration).RightsManagementServiceId 以取得 RMS 識別碼。

2. 登入您的 DNS 提供者，流覽至網域的 DNS 設定，然後新增 SRV 記錄。

   • 服務 = _rmsredir
   • 通訊協定 = _http
   • 名稱 = _tcp
   • 目標 = [GUID].rms.aadrm.cn (，其中 GUID 是 RMS 識別碼)
   • Priority、Weight、Seconds、TTL = 預設值

3. 將自訂網域與Azure 入口網站中的租使用者建立關聯。 這會在 DNS 中新增專案，在您將值新增至 DNS 設定之後，可能需要幾分鐘的時間才能進行驗證。

4. 使用對應的全域管理員認證登入Microsoft 365 系統管理中心，並新增網域 (例如， contoso.cn) 使用者建立。 在驗證程式中，可能需要額外的 DNS 變更。 驗證完成後，即可建立使用者。

設定 DNS 加密 - Mac、iOS、Android

登入您的 DNS 提供者，流覽至網域的 DNS 設定，然後新增 SRV 記錄。

• 服務 = _rmsdisco
• 通訊協定 = _http
• 名稱 = _tcp
• 目標 = api.aadrm.cn
• 埠 = 80
• Priority、Weight、Seconds、TTL = 預設值

步驟 4：安裝和設定 AIP 統一標籤用戶端

從 Microsoft 下載中心下載並安裝 AIP 統一標籤用戶端。

如需詳細資訊，請參閱：

• AIP 檔
• AIP 版本歷程記錄和支援原則
• AIP 系統需求
• AIP 快速入門：部署 AIP 用戶端
• AIP 系統管理員指南
• AIP 使用者指南
• 瞭解 Microsoft 365 敏感度標籤

步驟 5：在 Windows 上設定 AIP 應用程式

Windows 上的 AIP 應用程式需要下列登錄機碼，才能將其指向適用于 Azure China 的正確主權雲端：

• 登錄節點 = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• 名稱 = CloudEnvType
• 值 = 6 (預設值 = 0)
• 類型 = REG_DWORD

重要事項

請確定您不會在卸載之後刪除登錄機碼。 如果金鑰是空的、不正確或不存在的，則此功能會作為商業雲端) 的預設值 (預設值 = 0。 如果金鑰是空的或不正確的，則列印錯誤也會新增至記錄檔。

步驟 6：安裝資訊保護掃描器和管理內容掃描工作

安裝Microsoft Purview 資訊保護掃描器來掃描您的網路和內容共用是否有敏感性資料，並套用組織原則中所設定的分類和保護標籤。

設定和管理您的內容掃描工作時，請使用下列程式，而不是商業供應專案所使用的Microsoft Purview 合規性入口網站。

如需詳細資訊，請 參閱瞭解資訊保護掃描器 和 僅使用 PowerShell 管理您的內容掃描工作。

若要安裝和設定掃描器：

1. 登入將執行掃描器的 Windows Server 電腦。 使用具有本機系統管理員許可權且有權寫入SQL Server master 資料庫的帳戶。

2. 從關閉 PowerShell 開始。 如果您先前已安裝 AIP 用戶端和掃描器，請確定 AIPScanner 服務已停止。

3. 使用 [以系統管理員身分執行] 選項開啟Windows PowerShell會話。

4. 執行Install-AIPScanner Cmdlet，指定要在其中建立 Azure 資訊保護 掃描器資料庫的SQL Server實例，以及掃描器叢集有意義的名稱。

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   提示

   您可以在 Install-AIPScanner 命令中使用相同的叢集名稱，將多個掃描器節點與相同的叢集產生關聯。 針對多個掃描器節點使用相同的叢集，可讓多個掃描器一起運作以執行掃描。

5. 確認現在已使用系統管理工具> 服務來安裝服務。

   已安裝的服務名為Azure 資訊保護掃描器，並設定為使用您建立的掃描器服務帳戶來執行。

6. 取得要與掃描器搭配使用的 Azure 權杖。 Azure AD 權杖可讓掃描器向 Azure 資訊保護 服務進行驗證，讓掃描器以非互動方式執行。

   1. 開啟Azure 入口網站並建立 Azure AD 應用程式，以指定用於驗證的存取權杖。 如需詳細資訊，請參閱如何為 Azure 資訊保護以非互動方式標記檔案。

      提示

      建立及設定 Set-AIPAuthentication 命令的 Azure AD 應用程式時，[ 要求 API 許可權] 窗格會顯示 我的組織使用的 API 索引標籤，而不是 [Microsoft API] 索引 標籤。選取 我的組織所使用的 API ，然後選取 [Azure Rights Management Services]。

   2. 從 Windows Server 電腦，如果您的掃描器服務帳戶已獲得安裝的本機 登 入許可權，請使用此帳戶登入並啟動 PowerShell 會話。

      如果您的掃描器服務帳戶無法授與安裝的本機登入許可權，請使用OnBehalfOf參數搭配Set-AIPAuthentication，如如何為 Azure 資訊保護以非互動方式標記檔案中所述。

   3. 執行 Set-AIPAuthentication，指定從 Azure AD 應用程式複製的值：

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   例如：

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   掃描器現在有權杖可向 Azure AD 進行驗證。 根據您在 Azure AD 中 設定的 Web 應用程式 /API 用戶端密碼，此權杖的有效期為一年、兩年或永遠不會。 權杖到期時，您必須重複此程式。

7. 執行 Set-AIPScannerConfiguration Cmdlet，將掃描器設定為在離線模式中運作。 運行：

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. 執行 Set-AIPScannerContentScanJob Cmdlet 來建立預設內容掃描工作。

   Set-AIPScannerContentScanJob Cmdlet 中唯一必要的參數是Enforce。 不過，您可能想要在此時定義內容掃描工作的其他設定。 例如：

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   上述語法會在您繼續設定時設定下列設定：

   • 將掃描器執行排程保留為 手動
   • 根據敏感度標籤原則設定要探索的資訊類型
   • 不強制執行敏感度標籤原則
   • 使用針對敏感度標籤原則定義的預設標籤，根據內容自動標記檔案
   • 不允許重新標記檔案
   • 在掃描和自動套用標籤時保留檔案詳細資料，包括 修改日期、 上次修改日期和值 修改 日期
   • 設定掃描器以在執行時排除 .msg 和 .tmp 檔案
   • 將預設擁有者設定為執行掃描器時要使用的帳戶

9. 使用 Add-AIPScannerRepository Cmdlet 來定義您想要在內容掃描工作中掃描的存放庫。 例如，執行：

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   視您要新增的存放庫類型而定，請使用下列其中一種語法：

   • 若為網路共用，請使用 \\Server\Folder 。
   • 針對 SharePoint 文件庫，請使用 http://sharepoint.contoso.com/Shared%20Documents/Folder 。
   • 針對本機路徑： C:\Folder
   • 針對 UNC 路徑： \\Server\Folder

   注意事項

   不支援萬用字元，也不支援 WebDav 位置。

   若要稍後修改存放庫，請改用 Set-AIPScannerRepository Cmdlet。

視需要繼續進行下列步驟：

• 運行搜索循環並查看掃描器報告
• 使用 PowerShell 設定掃描器以套用分類和保護
• 使用 PowerShell 搭配掃描器設定 DLP 原則

下表列出與安裝掃描器和管理內容掃描工作相關的 PowerShell Cmdlet：

指令程式	描述
Add-AIPScannerRepository	將新的存放庫新增至您的內容掃描工作。
Get-AIPScannerConfiguration	傳回叢集的相關詳細資料。
Get-AIPScannerContentScanJob	取得內容掃描工作的詳細資料。
Get-AIPScannerRepository	取得針對內容掃描工作定義之存放庫的詳細資料。
Remove-AIPScannerContentScanJob	刪除您的內容掃描工作。
Remove-AIPScannerRepository	從您的內容掃描工作中移除存放庫。
Set-AIPScannerContentScanJob	定義內容掃描工作的設定。
Set-AIPScannerRepository	定義內容掃描工作中現有存放庫的設定。

如需詳細資訊，請參閱：

• 瞭解資訊保護掃描器
• 設定和安裝資訊保護掃描器
• 僅使用 PowerShell 管理您的內容掃描工作。