Microsoft Purview Information Protection per Office 365 gestito da 21Vianet
Questo articolo illustra le differenze tra il supporto di Microsoft Purview Information Protection per Office 365 gestito da 21Vianet e le offerte commerciali limitate all'offerta precedentemente nota come Azure Information Protection (AIP), nonché istruzioni di configurazione specifiche per i clienti in Cina, tra cui come installare lo scanner di protezione delle informazioni e gestire i processi di analisi del contenuto.
Differenze tra 21Vianet e offerte commerciali
Anche se l'obiettivo è offrire tutte le funzionalità e le funzionalità commerciali ai clienti in Cina con il supporto di Microsoft Purview Information Protection per Office 365 gestito dall'offerta 21Vianet, esistono alcune funzionalità mancanti:
La crittografia active Directory Rights Management Services (AD RMS) è supportata solo in Microsoft 365 Apps for enterprise (build 11731.10000 o versione successiva). Office Professional Plus non supporta AD RMS.
La migrazione da AD RMS a AIP non è attualmente disponibile.
La condivisione di messaggi di posta elettronica protetti con gli utenti nel cloud commerciale è supportata.
La condivisione di documenti e allegati di posta elettronica con gli utenti nel cloud commerciale non è attualmente disponibile. Ciò include Office 365 gestito da 21Vianet utenti nel cloud commerciale, non Office 365 gestito da 21Vianet utenti nel cloud commerciale e utenti con una licenza RMS for Individuals.
IRM con SharePoint (siti e raccolte protetti da IRM) non è attualmente disponibile.
L'estensione per dispositivi mobili per AD RMS non è attualmente disponibile.
Il Visualizzatore per dispositivi mobili non è supportato da Azure Cina 21Vianet.
L'area scanner del portale di conformità non è disponibile per i clienti in Cina. Usare i comandi di PowerShell invece di eseguire azioni nel portale, ad esempio la gestione e l'esecuzione dei processi di analisi del contenuto.
Gli endpoint di rete per il client Microsoft Purview Information Protection all'interno dell'ambiente 21Vianet sono diversi dagli endpoint necessari per altri servizi cloud. È necessaria la connettività di rete dai client agli endpoint seguenti:
- Scaricare i criteri di etichetta e etichetta:
*.protection.partner.outlook.cn
- Servizio Azure Rights Management:
*.aadrm.cn
- Scaricare i criteri di etichetta e etichetta:
rilevamento dei documenti e revoca da parte degli utenti non è attualmente disponibile.
Configurazione per i clienti in 21Vianet
Per configurare il supporto di Microsoft Purview Information Protection per Office 365 gestito da 21Vianet:
Aggiungere l'entità servizio di sincronizzazione Microsoft Information Protection.
Installare e configurare il client Microsoft Purview Information Protection.
Configurare le impostazioni di Windows.
Installare lo scanner di protezione delle informazioni e gestire i processi di analisi del contenuto.
Passaggio 1: Abilitare Rights Management per il tenant
Affinché la crittografia funzioni correttamente, il servizio Rights Management (RMS) deve essere abilitato per il tenant.
Controllare se RMS è abilitato:
- Avviare PowerShell come amministratore.
- Se il modulo AIPService non è installato, eseguire
Install-Module AipService
. - Importare il modulo usando
Import-Module AipService
. - Connessione al servizio tramite
Connect-AipService -environmentname azurechinacloud
. - Eseguire
(Get-AipServiceConfiguration).FunctionalState
e controllare se lo stato èEnabled
.
Se lo stato funzionale è
Disabled
, eseguireEnable-AipService
.
Passaggio 2: Aggiungere l'entità servizio di sincronizzazione Microsoft Information Protection
L'entità servizio di sincronizzazione Di Microsoft Information Protection non è disponibile nei tenant di Azure Cina per impostazione predefinita ed è necessaria per Azure Information Protection. Creare manualmente questa entità servizio tramite il modulo Azure Az PowerShell.
Se il modulo Az di Azure non è installato, installarlo o usare una risorsa in cui viene preinstallato il modulo Az di Azure, ad esempio Azure Cloud Shell. Per altre informazioni, vedere Installare il modulo Azure Az PowerShell.
Connessione al servizio usando il cmdlet Connessione-AzAccount e il nome dell'ambiente
azurechinacloud
:Connect-azaccount -environmentname azurechinacloud
Creare manualmente l'entità servizio di sincronizzazione Microsoft Information Protection usando il cmdlet New-AzADServicePrincipal e l'ID
870c4f2e-85b6-4d43-bdda-6ed9a579b725
applicazione per il servizio di sincronizzazione microsoft Purview Information Protection:New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
Dopo aver aggiunto l'entità servizio, aggiungere le autorizzazioni pertinenti necessarie al servizio.
Passaggio 3: Configurare la crittografia DNS
Per il corretto funzionamento della crittografia, le applicazioni client di Office devono connettersi all'istanza cinese del servizio e bootstrap da questa posizione. Per reindirizzare le applicazioni client all'istanza del servizio corretta, l'amministratore tenant deve configurare un record SRV DNS con informazioni sull'URL di Azure RMS. Senza il record SRV DNS, l'applicazione client tenterà di connettersi all'istanza del cloud pubblico per impostazione predefinita e avrà esito negativo.
Si supponga inoltre che gli utenti esemplino l'accesso con un nome utente basato sul dominio di proprietà del tenant (ad esempio, joe@contoso.cn
) e non con il onmschina
nome utente (ad esempio, joe@contoso.onmschina.cn
). Il nome di dominio del nome utente viene usato per il reindirizzamento DNS all'istanza del servizio corretta.
Configurare la crittografia DNS - Windows
Ottenere l'ID RMS:
- Avviare PowerShell come amministratore.
- Se il modulo AIPService non è installato, eseguire
Install-Module AipService
. - Connessione al servizio tramite
Connect-AipService -environmentname azurechinacloud
. - Eseguire
(Get-AipServiceConfiguration).RightsManagementServiceId
per ottenere l'ID RMS.
Accedere al provider DNS, passare alle impostazioni DNS per il dominio e quindi aggiungere un nuovo record SRV.
- Service =
_rmsredir
- Protocollo =
_http
- Name =
_tcp
- Target =
[GUID].rms.aadrm.cn
(dove GUID è l'ID RMS) - Priority, Weight, Seconds, TTL = default values
- Service =
Associare il dominio personalizzato al tenant nel portale di Azure. Verrà aggiunta una voce in DNS, che potrebbe richiedere alcuni minuti per verificarsi dopo aver aggiunto il valore alle impostazioni DNS.
Accedere al interfaccia di amministrazione di Microsoft 365 con le credenziali di amministratore globale corrispondenti e aggiungere il dominio (ad esempio,
contoso.cn
) per la creazione dell'utente. Nel processo di verifica potrebbero essere necessarie modifiche DNS aggiuntive. Al termine della verifica, gli utenti possono essere creati.
Configurare la crittografia DNS - Mac, iOS, Android
Accedere al provider DNS, passare alle impostazioni DNS per il dominio e quindi aggiungere un nuovo record SRV.
- Service =
_rmsdisco
- Protocollo =
_http
- Name =
_tcp
- Target =
api.aadrm.cn
- Porta =
80
- Priority, Weight, Seconds, TTL = default values
Passaggio 4: Installare e configurare il client di etichettatura
Scaricare e installare il client Microsoft Purview Information Protection dall'Area download Microsoft.
Per altre informazioni, vedi:
- Estendere l'etichettatura di riservatezza in Windows
- Client Microsoft Purview Information Protection - Gestione delle versioni e supporto
Passaggio 5: Configurare le impostazioni di Windows
Windows richiede la chiave del Registro di sistema seguente per fare riferimento al cloud sovrano corretto per Azure Cina:
- Nodo del Registro di sistema =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Name =
CloudEnvType
- Valore = (valore predefinito =
6
0) - Tipo =
REG_DWORD
Importante
Assicurarsi di non eliminare la chiave del Registro di sistema dopo una disinstallazione. Se la chiave è vuota, errata o inesistente, la funzionalità si comporta come valore predefinito (valore predefinito = 0 per il cloud commerciale). Se la chiave è vuota o non corretta, viene aggiunto anche un errore di stampa al log.
Passaggio 6: Installare lo scanner di protezione delle informazioni e gestire i processi di analisi del contenuto
Installare lo scanner di Microsoft Purview Information Protection per analizzare le condivisioni di rete e contenuto per i dati sensibili e applicare etichette di classificazione e protezione come configurato nei criteri dell'organizzazione.
Quando si configurano e si gestiscono i processi di analisi del contenuto, usare la procedura seguente anziché la Portale di conformità di Microsoft Purview usata dalle offerte commerciali.
Per altre informazioni, vedere Informazioni sullo scanner di protezione delle informazioni e Gestire i processi di analisi del contenuto solo con PowerShell.
Per installare e configurare lo scanner:
Accedere al computer Windows Server che eseguirà lo scanner. Usare un account con diritti di amministratore locale e che disponga delle autorizzazioni per la scrittura nel database master di SQL Server.
Iniziare con PowerShell chiuso. Se in precedenza è stato installato lo scanner di protezione delle informazioni, assicurarsi che il servizio Scanner di Microsoft Purview Information Protection sia stato arrestato.
Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore .
Eseguire il cmdlet Install-Scanner , specificando l'istanza di SQL Server in cui creare un database per lo scanner di Microsoft Purview Information Protection e un nome significativo per il cluster dello scanner.
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
Suggerimento
È possibile usare lo stesso nome del cluster nel comando Install-Scanner per associare più nodi dello scanner allo stesso cluster. L'uso dello stesso cluster per più nodi dello scanner consente a più scanner di lavorare insieme per eseguire le analisi.
Verificare che il servizio sia installato usando Amministrazione istrative Tools>Services.
Il servizio installato è denominato Microsoft Purview Information Protection Scanner ed è configurato per l'esecuzione usando l'account del servizio scanner creato.
Ottenere un token di Azure da usare con lo scanner. Un token Microsoft Entra consente allo scanner di eseguire l'autenticazione nel servizio Azure Information Protection, consentendo l'esecuzione non interattiva dello scanner.
Aprire il portale di Azure e creare un'applicazione Microsoft Entra per specificare un token di accesso per l'autenticazione. Per altre informazioni, vedere Come etichettare i file in modo non interattivo per Azure Information Protection.
Suggerimento
Quando si creano e si configurano applicazioni Microsoft Entra per il comando Set-Authentication, il riquadro Richiedi autorizzazioni API mostra la scheda API usate dall'organizzazione anziché la scheda API Microsoft. Selezionare le API usate dall'organizzazione per quindi selezionare Azure Rights Management Services.
Dal computer Windows Server, se all'account del servizio scanner è stato concesso il diritto di accesso locale per l'installazione, accedere con questo account e avviare una sessione di PowerShell.
Se all'account del servizio scanner non è possibile concedere il diritto di accesso locale per l'installazione, usare il parametro OnBehalfOf con l'autenticazione set, come descritto in Come etichettare i file in modo non interattivo per Azure Information Protection.
Eseguire Set-Authentication, specificando i valori copiati dall'applicazione Microsoft Entra:
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Ad esempio:
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
Lo scanner ha ora un token per l'autenticazione a Microsoft Entra ID. Questo token è valido per un anno, due anni o mai, in base alla configurazione del segreto client dell'app Web /API in Microsoft Entra ID. Quando il token scade, è necessario ripetere questa procedura.
Eseguire il cmdlet Set-ScannerConfiguration per impostare lo scanner per funzionare in modalità offline. Eseguire:
Set-ScannerConfiguration -OnlineConfiguration Off
Eseguire il cmdlet Set-ScannerContentScanJob per creare un processo di analisi del contenuto predefinito.
L'unico parametro obbligatorio nel cmdlet Set-ScannerContentScanJob è Enforce. Tuttavia, è possibile definire altre impostazioni per il processo di analisi del contenuto in questo momento. Ad esempio:
Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
La sintassi precedente configura le impostazioni seguenti mentre si continua la configurazione:
- Mantiene manuale la pianificazione dell'esecuzione dello scanner
- Imposta i tipi di informazioni da individuare in base ai criteri di etichettatura di riservatezza
- Non applica criteri di etichettatura di riservatezza
- Etichetta automaticamente i file in base al contenuto, usando l'etichetta predefinita definita per i criteri di etichettatura di riservatezza
- Non consente la rilabazione dei file
- Mantiene i dettagli del file durante l'analisi e l'etichettatura automatica, inclusa la data di modifica, l'ultima modifica e la modifica dei valori
- Imposta lo scanner per escludere .msg e .tmp file durante l'esecuzione
- Imposta il proprietario predefinito sull'account da usare durante l'esecuzione dello scanner
Usare il cmdlet Add-ScannerRepository per definire i repository da analizzare nel processo di analisi del contenuto. Ad esempio, eseguire:
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Usare una delle sintassi seguenti, a seconda del tipo di repository che si sta aggiungendo:
- Per una condivisione di rete, usare
\\Server\Folder
. - Per una raccolta di SharePoint, usare
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Per un percorso locale:
C:\Folder
- Per un percorso UNC:
\\Server\Folder
Nota
I caratteri jolly non sono supportati e i percorsi WebDav non sono supportati.
Per modificare il repository in un secondo momento, usare invece il cmdlet Set-ScannerRepository .
- Per una condivisione di rete, usare
Continuare con i passaggi seguenti in base alle esigenze:
- Eseguire un ciclo di individuazione e visualizzare i report per lo scanner
- Usare PowerShell per configurare lo scanner per applicare la classificazione e la protezione
- Usare PowerShell per configurare un criterio DLP con lo scanner
La tabella seguente elenca i cmdlet di PowerShell rilevanti per l'installazione dello scanner e la gestione dei processi di analisi del contenuto:
Cmdlet | Descrizione |
---|---|
Add-ScannerRepository | Aggiunge un nuovo repository al processo di analisi del contenuto. |
Get-ScannerConfiguration | Restituisce informazioni dettagliate sul cluster. |
Get-ScannerContentScan | Ottiene informazioni dettagliate sul processo di analisi del contenuto. |
Get-ScannerRepository | Ottiene i dettagli sui repository definiti per il processo di analisi del contenuto. |
Remove-ScannerContentScan | Elimina il processo di analisi del contenuto. |
Remove-ScannerRepository | Rimuove un repository dal processo di analisi del contenuto. |
Set-ScannerContentScan | Definisce le impostazioni per il processo di analisi del contenuto. |
Set-ScannerRepository | Definisce le impostazioni per un repository esistente nel processo di analisi del contenuto. |
Per altre informazioni, vedi: