Поделиться через

Защита информации Microsoft Purview для Office 365, эксплуатируемых компанией 21Vianet

В этой статье рассматриваются различия между поддержкой Защита информации Microsoft Purview для Office 365, предоставляемой компанией 21Vianet, и коммерческими предложениями, которые ограничиваются предложением, ранее известным как Azure Information Protection (AIP), а также конкретные инструкции по настройке для клиентов в Китае, включая установку сканера защиты информации и управление заданиями сканирования содержимого.

Различия между 21Vianet и коммерческими предложениями

Хотя наша цель заключается в том, чтобы предоставить клиентам в Китае все коммерческие функции и функции с нашей поддержкой Защита информации Microsoft Purview для Office 365, предоставляемой предложением 21Vianet, есть некоторые отсутствующие функции:

  • Шифрование служб Active Directory Rights Management Services (AD RMS) поддерживается только в Приложения Microsoft 365 для предприятий (сборка 11731.10000 или более поздней версии). Office профессиональный плюс не поддерживает AD RMS.

  • Миграция из AD RMS в службу Azure Rights Management в настоящее время недоступна.

  • Поддерживается обмен зашифрованными электронными письмами с пользователями в коммерческом облаке.

  • Общий доступ к документам и вложениям электронной почты пользователям в коммерческом облаке в настоящее время недоступен. Сюда входят Office 365, управляемые пользователями 21Vianet в коммерческом облаке, не Office 365 пользователями 21Vianet в коммерческом облаке, а также пользователями с лицензией RMS для частных лиц.

  • IRM с SharePoint (защищенные IRM сайты и библиотеки) в настоящее время недоступны.

  • Расширение мобильного устройства для AD RMS в настоящее время недоступно.

  • Средство просмотра Защита информации Microsoft Purview для iOS и Android не поддерживается Azure 21Vianet для Китая.

  • Область проверки на портале Microsoft Purview недоступна для клиентов в Китае. Используйте команды PowerShell вместо выполнения действий на портале, таких как управление заданиями проверки содержимого и их выполнение.

  • Конечные точки сети для клиента Защита информации Microsoft Purview в среде 21Vianet отличаются от конечных точек, необходимых для других облачных служб. Требуется сетевое подключение клиентов к следующим конечным точкам:

    • Скачивание политик меток и меток: *.protection.partner.outlook.cn
    • Служба Azure Rights Management: *.aadrm.cn

  • отслеживание документов и отзыв пользователями в настоящее время недоступны.

Конфигурация для клиентов в 21Vianet

Чтобы настроить поддержку Защита информации Microsoft Purview для Office 365, которыми управляет 21Vianet, выполните следующие действия.

  1. Включите Rights Management для клиента.

  2. Добавьте субъект-службу Синхронизации Microsoft Information Protection.

  3. Настройка шифрования DNS.

  4. Установите и настройте клиент Защита информации Microsoft Purview.

  5. Настройка параметров Windows.

  6. Установите сканер защиты информации и управляйте заданиями сканирования содержимого.

Шаг 1. Включение Rights Management для клиента

Чтобы шифрование работало правильно, для клиента должна быть включена служба Azure Rights Management.

  1. Проверьте, включена ли эта служба:

    1. Запустите PowerShell от имени администратора.
    2. Если модуль AIPService не установлен, выполните команду Install-Module AipService.
    3. Импортируйте модуль с помощью Import-Module AipService.
    4. Подключитесь к службе с помощью Connect-AipService -environmentname azurechinacloud.
    5. Запустите (Get-AipServiceConfiguration).FunctionalState и проверка, если состояние равно Enabled.

  2. Если функциональное состояние — Disabled, выполните команду Enable-AipService.

Шаг 2. Добавление субъекта-службы Microsoft Information Protection Sync

Субъект-служба Microsoft Information Protection Sync по умолчанию недоступна в клиентах Azure для Китая и требуется для Защита информации Microsoft Purview. Создайте этот субъект-службу вручную с помощью модуля Azure Az PowerShell.

  1. Если у вас не установлен модуль Azure Az, установите его или используйте ресурс, в котором предварительно установлен модуль Azure Az, например Azure Cloud Shell. Дополнительные сведения см. в статье Установка модуля Azure Az PowerShell.

  2. Подключитесь к службе с помощью командлета Connect-AzAccount и azurechinacloud имени среды:

    Connect-azaccount -environmentname azurechinacloud

  3. Создайте субъект-службу синхронизации Microsoft Information Protection вручную с помощью командлета New-AzADServicePrincipal и 870c4f2e-85b6-4d43-bdda-6ed9a579b725 идентификатора приложения для службы синхронизации Защита информации Microsoft Purview:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. После добавления субъекта-службы добавьте соответствующие разрешения, необходимые для службы.

Шаг 3. Настройка шифрования DNS

Чтобы шифрование работало правильно, клиентские приложения Office должны подключиться к экземпляру службы для Китая и выполнить начальную загрузку оттуда. Чтобы перенаправить клиентские приложения в нужный экземпляр службы, администратор клиента должен настроить запись DNS SRV со сведениями о URL-адресе службы Azure Rights Management. Без записи SRV DNS клиентское приложение попытается подключиться к экземпляру общедоступного облака по умолчанию и завершится ошибкой.

Кроме того, предполагается, что пользователи будут входить с именем пользователя на основе домена, принадлежащего клиенту (например, ), [email protected]а не onmschina имени пользователя (например, [email protected]). Доменное имя из имени пользователя используется для перенаправления DNS на правильный экземпляр службы.

Настройка шифрования DNS — Windows

  1. Получите идентификатор службы Azure Rights Management:

    1. Запустите PowerShell от имени администратора.
    2. Если модуль AIPService не установлен, выполните команду Install-Module AipService.
    3. Подключитесь к службе с помощью Connect-AipService -environmentname azurechinacloud.
    4. Выполните команду (Get-AipServiceConfiguration).RightsManagementServiceId , чтобы получить идентификатор службы.

  2. Войдите в поставщик DNS, перейдите к параметрам DNS для домена, а затем добавьте новую запись SRV.

    • Service = _rmsredir
    • Протокол = _http
    • Имя = _tcp
    • Target = [GUID].rms.aadrm.cn (где GUID — это идентификатор службы Azure Rights Management).
    • Priority, Weight, Seconds, TTL = значения по умолчанию

  3. Свяжите личный домен с клиентом в портал Azure. При этом добавляется запись в DNS, для проверки которой может потребоваться несколько минут после добавления значения в параметры DNS.

  4. Войдите в Центр администрирования Microsoft 365 с соответствующими учетными данными глобального администратора и добавьте домен (например, contoso.cn) для создания пользователя. В процессе проверки могут потребоваться дополнительные изменения DNS. После завершения проверки пользователи могут быть созданы.

Настройка шифрования DNS — Mac, iOS, Android

Войдите в поставщик DNS, перейдите к параметрам DNS для домена, а затем добавьте новую запись SRV.

  • Service = _rmsdisco
  • Протокол = _http
  • Имя = _tcp
  • Target = api.aadrm.cn
  • Порт = 80
  • Priority, Weight, Seconds, TTL = значения по умолчанию

Шаг 4. Установка и настройка клиента маркировки

Скачайте и установите клиент Защита информации Microsoft Purview из Центра загрузки Майкрософт.

Дополнительные сведения см. в разделе:

Шаг 5. Настройка параметров Windows

Для проверки подлинности Windows требуется следующий раздел реестра, указывающий на правильное национальное облако для Azure для Китая:

  • Узел реестра = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • Имя = CloudEnvType
  • Value = 6 (по умолчанию = 0)
  • Type = REG_DWORD

Важно!

Не удаляйте раздел реестра после удаления. Если ключ пуст, неправильный или отсутствует, функция будет работать как значение по умолчанию (значение по умолчанию = 0 для коммерческого облака). Если ключ пуст или неправильный, в журнал также добавляется ошибка печати.

Шаг 6. Установка сканера защиты информации и управление заданиями сканирования содержимого

Установите сканер Защита информации Microsoft Purview для проверки сети и общих папок содержимого на наличие конфиденциальных данных, а также примените метки классификации и защиты, как указано в политике вашей организации.

При настройке заданий сканирования содержимого и управлении ими используйте следующую процедуру вместо портала Microsoft Purview , используемого коммерческими предложениями.

Дополнительные сведения см . в разделах Сведения о сканере защиты информации и Управление заданиями сканирования содержимого только с помощью PowerShell.

Чтобы установить и настроить сканер, выполните следующие действия:

  1. Войдите на Windows Server компьютер, на который будет запущен сканер. Используйте учетную запись с правами локального администратора и с разрешениями на запись в базу данных SQL Server master.

  2. Начните с закрытой оболочки PowerShell. Если вы ранее установили сканер защиты информации, убедитесь, что служба сканера Защита информации Microsoft Purview остановлена.

  3. Откройте сеанс Windows PowerShell с параметром Запуск от имени администратора.

  4. Запустите командлет Install-Scanner, указав экземпляр SQL Server, на котором нужно создать базу данных для Защита информации Microsoft Purview сканера, и понятное имя кластера сканера.

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>

    Совет

    Вы можете использовать одно и то же имя кластера в команде Install-Scanner , чтобы связать несколько узлов сканера с тем же кластером. Использование одного кластера для нескольких узлов проверки позволяет нескольким сканерам работать вместе для выполнения проверок.

  5. Убедитесь, что служба теперь установлена с помощью служб администрирования>.

    Установленная служба называется Защита информации Microsoft Purview Scanner и настроена для запуска с помощью созданной учетной записи службы проверки.

  6. Получите маркер Azure для использования со сканером. Маркер Microsoft Entra позволяет сканеру проходить проверку подлинности в службе шифрования Azure Rights Management, что позволяет сканеру работать в неинтерактивном режиме.

    1. Откройте портал Azure и создайте приложение Microsoft Entra, чтобы указать маркер доступа для проверки подлинности. Дополнительные сведения см. в статье Автоматическое выполнение командлетов для защиты информации.

      Совет

      При создании и настройке приложений Microsoft Entra для команды Set-Authentication в области Запрашивать разрешения API отображается вкладка API, которые моя организация использует вместо вкладки API Майкрософт. Выберите API, которые моя организация использует, чтобы затем выбрать Службы Azure Rights Management.

    2. С Windows Server компьютера, если вашей учетной записи службы сканера предоставлен локальный вход для установки, войдите с помощью этой учетной записи и запустите сеанс PowerShell.

      Если вашей учетной записи службы сканера не удается предоставить локальное право входа для установки, используйте параметр OnBehalfOf с командлетом Set-Authentication, как описано в разделе Автоматический запуск командлетов для меток защиты информации.

    3. Запустите Set-Authentication, указав значения, скопированные из приложения Microsoft Entra:

      Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

      Например:

      $pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser [email protected] -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    Теперь у сканера есть маркер для проверки подлинности для Microsoft Entra идентификатора. Этот маркер действителен в течение одного года, двух лет или никогда в соответствии с конфигурацией секрета клиента веб-приложения /API в Microsoft Entra идентификаторе. По истечении срока действия маркера необходимо повторить эту процедуру.

  7. Выполните командлет Set-ScannerConfiguration , чтобы настроить работу сканера в автономном режиме. Бежать:

    Set-ScannerConfiguration -OnlineConfiguration Off

  8. Запустите командлет Set-ScannerContentScanJob , чтобы создать задание проверки содержимого по умолчанию.

    Единственным обязательным параметром в командлете Set-ScannerContentScanJob является Принудительно. Однако на данный момент может потребоваться определить другие параметры для задания проверки содержимого. Например:

    Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    Приведенный выше синтаксис настраивает следующие параметры при продолжении настройки:

    • Позволяет вручную планировать выполнение сканера
    • Задает типы информации для обнаружения на основе политики меток конфиденциальности
    • Не применяет политику меток конфиденциальности
    • Автоматически помечает файлы на основе содержимого, используя метку по умолчанию, определенную для политики меток конфиденциальности.
    • Не допускает повторную маркировку файлов
    • Сохраняет сведения о файлах при проверке и автоматическом присвоении меток, включая дату изменения, последнего изменения и изменения значений
    • Задает средство проверки для исключения файлов .msg и .tmp при запуске
    • Задает владельца по умолчанию учетную запись, которую вы хотите использовать при запуске сканера

  9. Используйте командлет Add-ScannerRepository , чтобы определить репозитории, которые требуется сканировать в задании проверки содержимого. Например, выполните команду:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    Используйте один из следующих синтаксисов в зависимости от типа добавляемого репозитория:

    • Для сетевого ресурса используйте .\\Server\Folder
    • Для библиотеки SharePoint используйте http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Для локального пути: C:\Folder
    • Для UNC-пути: \\Server\Folder

    Примечание.

    Подстановочные знаки не поддерживаются, а расположения WebDav не поддерживаются.

    Чтобы изменить репозиторий позже, используйте командлет Set-ScannerRepository .

При необходимости выполните следующие действия.

В следующей таблице перечислены командлеты PowerShell, относящиеся к установке сканера и управлению заданиями проверки содержимого.

Командлет Описание
Add-ScannerRepository Добавляет новый репозиторий в задание проверки содержимого.
Get-ScannerConfiguration Возвращает сведения о кластере.
Get-ScannerContentScan Возвращает сведения о задании сканирования содержимого.
Get-ScannerRepository Возвращает сведения о репозиториях, определенных для задания сканирования содержимого.
Remove-ScannerContentScan Удаляет задание сканирования содержимого.
Remove-ScannerRepository Удаляет репозиторий из задания проверки содержимого.
Set-ScannerContentScan Определяет параметры для задания сканирования содержимого.
Set-ScannerRepository Определяет параметры для существующего репозитория в задании проверки содержимого.

Дополнительные сведения см. в разделе:

  • Last updated on