通过

由世纪互联运营的 Office 365 的 Microsoft Purview 信息保护

  • 项目

本文介绍由世纪互联运营的 Office 365 的 Microsoft Purview 信息保护支持与仅限于以前称为 Azure 信息保护 (AIP) 的商业产品/服务之间的差异,以及针对中国客户的具体配置说明(包括如何安装信息保护扫描程序和管理内容扫描作业)。

世纪互联与商业产品/服务之间的差异

虽然我们的目标是通过世纪互联产品/服务运营的 Office 365 的 Microsoft Purview 信息保护支持为中国客户提供所有特性和功能,但有一些缺失的功能:

  • Active Directory Rights Management Services (AD RMS) 仅在 Microsoft 365 应用企业版(内部版本 11731.10000 或更高版本)中受支持。 Office Professional Plus 不支持 AD RMS。

  • 目前无法从 AD RMS 迁移到 AIP。

  • 支持与商业云中的用户共享受保护的电子邮件。

  • 目前无法与商业云中的用户共享文档和电子邮件附件。 这包括由商业云中的世纪互联用户运营的 Office 365、由商业云中的世纪互联用户以及拥有个人 RMS 许可证的用户运营的非 Office 365。

  • SharePoint 的 IRM(受 IRM 保护的网站和库)当前不可用。

  • AD RMS 的移动设备扩展当前不可用。

  • 由世纪互联运营的 Microsoft Azure 不支持移动查看器。

  • 中国客户无法使用合规性门户的扫描程序区域。 使用 PowerShell 命令而不是在门户中执行操作,例如管理和运行内容扫描作业。

  • 世纪互联环境中的 Microsoft Purview 信息保护客户端的网络终结点不同于其他云服务所需的终结点。 需要从客户端到以下终结点的网络连接:

    • 下载标签和标签策略:*.protection.partner.outlook.cn
    • Azure Rights Management 服务:*.aadrm.cn

  • 用户的文档跟踪和吊销当前不可用

世纪互联中客户的配置

配置世纪互联运营的 Office 365 的 Microsoft Purview 信息保护支持:

  1. 为租户启用 Rights Management

  2. 添加 Microsoft 信息保护同步服务服务主体

  3. 配置 DNS 加密

  4. 安装和配置 Microsoft Purview 信息保护客户端

  5. 配置 Windows 设置

  6. 安装信息保护扫描程序并管理内容扫描作业

步骤 1:为租户启用 Rights Management

为了使加密正常工作,必须为租户启用权限管理服务 (RMS)。

  1. 检查是否已启用 RMS:

    1. 以管理员身份启动 PowerShell。
    2. 如果未安装 AIPService 模块,请运行 Install-Module AipService
    3. 使用 Import-Module AipService 导入模块。
    4. 使用 Connect-AipService -environmentname azurechinacloud 连接到服务。
    5. 运行 (Get-AipServiceConfiguration).FunctionalState 并检查状态是否为 Enabled

  2. 如果功能状态为 Disabled,请运行 Enable-AipService

步骤 2:添加 Microsoft 信息保护同步服务服务主体

默认情况下,Microsoft 信息保护同步服务服务主体在由世纪互联租户运营的 Microsoft Azure 中不可用,但 Azure 信息保护需要该服务主体。 通过 Azure Az PowerShell 模块手动创建此服务主体。

  1. 如果未安装 Azure Az 模块,请安装此模块或使用预安装了 Azure Az 模块的资源。 有关详细信息,请查看安装 Azure Az PowerShell 模块

  2. 使用 Connect-AzAccount cmdlet 和 azurechinacloud 环境名称连接到服务:

    Connect-azaccount -environmentname azurechinacloud

  3. 使用 New-AzADServicePrincipal cmdlet 和 Microsoft Purview 信息保护同步服务的 870c4f2e-85b6-4d43-bdda-6ed9a579b725 应用程序 ID 手动创建 Microsoft 信息保护同步服务服务主体

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. 添加服务主体后,向服务添加所需的相关权限。

步骤 3:配置 DNS 加密

若要使加密正常工作,Office 客户端应用程序必须连接到中国的服务实例并从此处启动。 若要将客户端应用程序重定向到正确的服务实例,租户管理员须配置 DNS SRV 记录,并附带有关 Azure RMS URL 的信息。 如果没有 DNS SRV 记录,客户端应用程序将默认尝试连接到公有云实例,但会失败。

此外,假设用户将使用基于租户拥有的域的用户名(例如 joe@contoso.cn)而不是 onmschina 用户名(例如 joe@contoso.onmschina.cn)登录。 用户名中的域名用于 DNS 重定向到正确的服务实例。

配置 DNS 加密 - Windows

  1. 获取 RMS ID:

    1. 以管理员身份启动 PowerShell。
    2. 如果未安装 AIPService 模块,请运行 Install-Module AipService
    3. 使用 Connect-AipService -environmentname azurechinacloud 连接到服务。
    4. 运行 (Get-AipServiceConfiguration).RightsManagementServiceId 以获取 RMS ID。

  2. 登录到 DNS 提供程序,导航到域的 DNS 设置,然后添加新的 SRV 记录。

    • 服务 = _rmsredir
    • 协议 = _http
    • 名称 = _tcp
    • 目标 = [GUID].rms.aadrm.cn(其中 GUID 是 RMS ID)
    • 优先级、权重、秒数、TTL = 默认值

  3. 将自定义域与 Azure 门户中的租户相关联。 这将在 DNS 中添加一个条目,在将值添加到 DNS 设置后,可能需要几分钟的时间才能进行验证。

  4. 使用相应的全局管理员凭据登录到 Microsoft 365 管理中心,然后添加用于创建用户的域(例如 contoso.cn)。 在验证过程中,可能需要进行其他 DNS 更改。 验证完成后,便可创建用户。

配置 DNS 加密 - Mac、iOS、Android

登录到 DNS 提供程序,导航到域的 DNS 设置,然后添加新的 SRV 记录。

  • 服务 = _rmsdisco
  • 协议 = _http
  • 名称 = _tcp
  • 目标 = api.aadrm.cn
  • 端口 = 80
  • 优先级、权重、秒数、TTL = 默认值

步骤 4:安装和配置标记客户端

Microsoft 下载中心下载和安装 Microsoft Purview 信息保护客户端。

步骤 5:配置 Windows 设置

Windows 需要以下注册表项以进行身份验证,以指向由世纪互联运营的 Microsoft Azure 的正确主权云:

  • 注册表节点 = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • 名称 = CloudEnvType
  • 值 = 6(默认值 = 0)
  • “类型”= REG_DWORD

重要

请确保在卸载后不要删除注册表项。 如果键为空、不正确或不存在,则功能将作为默认值(默认值 = 0 表示商业云)。 如果该键为空或不正确,则还会向日志添加打印错误。

步骤 6:安装信息保护扫描程序并管理内容扫描作业

安装 Microsoft Purview 信息保护扫描程序以扫描网络和内容共享中的敏感数据,并应用组织策略中配置的分类和保护标签。

配置和管理内容扫描作业时,请使用以下过程,而不是商业产品/服务使用的 Microsoft Purview 合规性门户。

安装和配置扫描程序

  1. 登录到将要运行扫描程序的 Windows Server 计算机。 使用具有本地管理员权限并具有写入到 SQL Server master 数据库权限的帐户。

  2. 首先在 PowerShell 已关闭的情况下进行操作。 如果以前安装了信息保护扫描程序,请确保 Microsoft Purview 信息保护扫描程序服务已停止。

  3. 使用“以管理员身份运行”选项打开 Windows PowerShell 会话

  4. 运行 Install-Scanner cmdlet,指定要在其中为 Microsoft Purview 信息保护扫描程序创建数据库的 SQL Server 实例,并为扫描程序群集指定一个有意义的名称。

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>

    提示

    可以使用与 Install-Scanner 命令中相同的群集名称,将多个扫描程序节点关联到同一群集。 将同一群集用于多个扫描程序节点使多个扫描程序能够协同执行扫描。

  5. 使用“管理工具”“服务”验证服务现在是否已安装。

    安装的服务名为 Microsoft Purview 信息保护扫描程序,配置为使用创建的扫描程序服务帐户运行。

  6. 获取要用于扫描程序的 Azure 令牌。 扫描程序可以使用 Microsoft Entra 令牌对 Azure 信息保护服务进行身份验证,这样,扫描程序便能够以非交互方式运行。

    1. 打开 Azure 门户,创建一个 Microsoft Entra 应用程序来指定用于身份验证的访问令牌。 有关详细信息,请参阅如何以非交互方式为 Azure 信息保护标记文件

      提示

      Set-Authentication 命令创建和配置 Microsoft Entra 应用程序时,“请求 API 权限”窗格显示“我的组织使用的 API”选项卡,而不是“Microsoft API”选项卡。选择“我的组织使用的 API”,然后选择“Azure Rights Management 服务”

    2. 在 Windows Server 计算机中,如果你的扫描程序服务帐户已就安装授予了“本地登录”权限,使用此帐户登录并启动 PowerShell 会话。

      如果无法为扫描程序服务帐户授予安装所需的“本地登录”权限,请对 Set-Authentication 使用 OnBehalfOf 参数,如如何以非交互方式为 Azure 信息保护标记文件中所述。

    3. 运行 Set-Authentication,指定从 Microsoft Entra 应用程序复制的值:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    例如:

    $pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    扫描程序现在有一个令牌,用于向 Microsoft Entra ID 进行身份验证。 此令牌的有效期为一年、两年或永不过期,具体取决于 Microsoft Entra ID 中的“Web 应用/API”客户端密码配置。 令牌过期后,必须重复此过程。

  7. 运行 Set-ScannerConfiguration cmdlet 将扫描程序设置为以脱机模式运行。 运行:

    Set-ScannerConfiguration -OnlineConfiguration Off

  8. 运行 Set-ScannerContentScanJob cmdlet 创建默认的内容扫描作业。

    Set-ScannerContentScanJob cmdlet 中唯一必需的参数是 Enforce。 但是,此时你可能想要为内容扫描作业定义其他设置。 例如:

    Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    上述语法在你继续进行配置时配置以下设置:

    • 将扫描程序运行计划保留为“手动”
    • 设置要根据敏感度标记策略发现的信息类型
    • 不要强制实施敏感度标记策略
    • 使用为敏感度标记策略定义的默认标签,根据内容自动标记文件
    • 不要允许重新标记文件
    • 在扫描和自动标记时保留文件详细信息,包括“修改日期”、“上次修改日期”和“修改者”值
    • 设置扫描程序以在运行时排除 .msg 和 .tmp 文件
    • 将默认所有者设置为运行扫描程序时要使用的帐户

  9. 使用 Add-ScannerRepository cmdlet 定义要在内容扫描作业中扫描的存储库。 例如,运行:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    根据要添加的存储库类型使用以下语法之一:

    • 对于网络共享,请使用 \\Server\Folder
    • 对于 SharePoint 库,请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
    • 对于本地路径:C:\Folder
    • 对于 UNC 路径:\\Server\Folder

    注意

    不支持通配符,也不支持 WebDav 位置。

    以后若要修改存储库,请改用 Set-ScannerRepository cmdlet。

下表列出了与安装扫描程序和管理内容扫描作业相关的 PowerShell cmdlet:

Cmdlet 说明
Add-ScannerRepository 将新的存储库添加到内容扫描作业。
Get-ScannerConfiguration 返回有关群集的详细信息。
Get-ScannerContentScan 获取有关内容扫描作业的详细信息。
Get-ScannerRepository 获取有关为内容扫描作业定义的存储库的详细信息。
Remove-ScannerContentScan 删除内容扫描作业。
Remove-ScannerRepository 从内容扫描作业中删除存储库。
Set-ScannerContentScan 定义内容扫描作业的设置。
Set-ScannerRepository 定义内容扫描作业中现有存储库的设置。