通过

由世纪互联运营的Office 365 Microsoft Purview 信息保护

本文介绍对由世纪互联运营的Office 365的Microsoft Purview 信息保护支持与仅限于以前称为 Azure 信息保护 (AIP) ,以及针对中国客户的具体配置说明,包括如何安装信息保护扫描程序和管理内容扫描作业。

世纪互联和商业产品/服务之间的差异

虽然我们的目标是通过对世纪互联产品/服务运营的Office 365提供Microsoft Purview 信息保护支持,向中国客户提供所有商业特性和功能,但缺少一些功能:

  • 仅 Microsoft 365 企业应用版(内部版本 11731.10000 或更高版本)支持 Active Directory Rights Management Services (AD RMS) 加密。 Office Professional Plus 不支持 AD RMS。

  • 从 AD RMS 迁移到 Azure Rights Management 服务当前不可用。

  • 支持与商业云中的用户共享加密电子邮件。

  • 目前无法与商业云中的用户共享文档和电子邮件附件。 这包括商业云中由世纪互联络用户运营的 Office 365、在商业云中由世纪互联用户运营的非 Office 365 用户,以及拥有个人版 RMS 许可证的用户。

  • 具有 SharePoint 的 IRM (受 IRM 保护的网站和库) 当前不可用。

  • 适用于 AD RMS 的移动设备扩展当前不可用。

  • 由世纪互联运营的 Azure 不支持适用于 iOS 和 Android 的 Microsoft Purview 信息保护查看器

  • Microsoft Purview 门户的扫描程序区域对中国的客户不可用。 使用 PowerShell 命令而不是在门户中执行操作,例如管理和运行内容扫描作业。

  • 世纪互联环境中Microsoft Purview 信息保护客户端的网络终结点与其他云服务所需的终结点不同。 需要从客户端到以下终结点的网络连接:

    • 下载标签和标签策略: *.protection.partner.outlook.cn
    • Azure Rights Management 服务: *.aadrm.cn

  • 用户文档跟踪和吊销当前不可用。

世纪互联客户配置

为世纪互联运营的Office 365配置Microsoft Purview 信息保护支持:

  1. 为租户启用权限

  2. 添加“Microsoft 信息保护同步服务”服务主体

  3. 配置 DNS 加密

  4. 安装和配置 Microsoft Purview 信息保护 客户端

  5. 配置 Windows 设置

  6. 安装信息保护扫描程序并管理内容扫描作业

步骤 1:为租户启用权限管理

若要使加密正常工作,必须为租户启用 Azure Rights Management 服务。

  1. 检查是否启用了此服务:

    1. 以管理员身份启动 PowerShell。
    2. 如果未安装 AIPService 模块,请运行 Install-Module AipService
    3. 使用 Import-Module AipService
    4. 使用 Connect-AipService -environmentname azurechinacloud连接到服务。
    5. 运行 (Get-AipServiceConfiguration).FunctionalState ,检查状态是否 Enabled

  2. 如果功能状态为 Disabled,请运行 Enable-AipService

步骤 2:添加“Microsoft 信息保护同步服务”服务主体

默认情况下,Microsoft信息保护同步服务主体在由世纪互联租户运营的 Azure 中不可用,Microsoft Purview 信息保护是必需的。 通过 Azure Az PowerShell 模块手动创建此服务主体。

  1. 如果没有安装 Azure Az 模块,请安装它或使用预安装 Azure Az 模块的资源。 有关详细信息,请查看安装 Azure Az PowerShell 模块

  2. 使用 Connect-AzAccount cmdlet 和 azurechinacloud 环境名称连接到服务:

    Connect-azaccount -environmentname azurechinacloud

  3. 使用 New-AzADServicePrincipal cmdlet 和 870c4f2e-85b6-4d43-bdda-6ed9a579b725的应用程序 ID 手动创建Microsoft信息保护同步服务主体:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725

  4. 添加服务主体后,请添加服务所需的相关权限。

步骤 3:配置 DNS 加密

为使加密能正常工作,Office 客户端应用程序必须连接到服务的中国实例并请从其中启动。 若要将客户端应用程序重定向到正确的服务实例,租户管理员必须配置 DNS SRV 记录,其中包含有关 Azure Rights Management 服务的 URL 的信息。 如果没有 DNS SRV 记录,客户端应用程序会默认尝试连接到公有云实例,并且会失败。

此外,假设用户将会使用基于租户拥有的域(例如 joe@contoso.cn)而不是 onmschina 用户名(例如 joe@contoso.onmschina.cn)登录。 用户名中的域名用于 DNS 重定向到正确的服务实例。

配置 DNS 加密 - Windows

  1. 获取 Azure Rights Management 服务 ID:

    1. 以管理员身份启动 PowerShell。
    2. 如果未安装 AIPService 模块,请运行 Install-Module AipService
    3. 使用 Connect-AipService -environmentname azurechinacloud连接到服务。
    4. 运行 (Get-AipServiceConfiguration).RightsManagementServiceId 以获取服务 ID。

  2. 登录到您的 DNS 提供商,导航到域的 DNS 设置,然后添加新的 SRV 记录。

    • 服务 = _rmsredir
    • 协议 = _http
    • 名称 = _tcp
    • Target = [GUID].rms.aadrm.cn (,其中 GUID 是 Azure Rights Management 服务 ID)
    • 优先级、权重、秒数、TTL = 默认值

  3. 将自定义域与 门户中的租户。 这会在 DNS 中添加一个条目,在将值添加到 DNS 设置后,可能需要几分钟时间才能验证。

  4. 使用相应的全局管理员凭据登录 Microsoft 365 管理中心,并添加域(例如, contoso.cn)供用户创建。 在验证过程中,可能需要其他 DNS 更改。 验证完成后,可创建用户。

配置 DNS 加密 - Mac、iOS、Android

登录到您的 DNS 提供商,导航到域的 DNS 设置,然后添加新的 SRV 记录。

  • 服务 = _rmsdisco
  • 协议 = _http
  • 名称 = _tcp
  • 目标 = api.aadrm.cn
  • 端口 = 80
  • 优先级、权重、秒数、TTL = 默认值

步骤 4:安装和配置标记客户端

从Microsoft下载中心下载并安装 Microsoft Purview 信息保护 客户端。

步骤 5:配置 Windows 设置

Windows 需要以下注册表项进行身份验证,以指向世纪互联运营的 Azure 的正确主权云:

  • 注册表节点 = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • 名称 = CloudEnvType
  • 值 = 6(默认 = 0)
  • 类型 = REG_DWORD

重要

请确保卸载后不会删除注册表项。 如果密钥为空、不正确或不存在,则功能将按默认值(商业云的默认值 = 0)运行。 如果密钥为空或不正确,也会向日志添加打印错误。

步骤 6:安装信息保护扫描程序并管理内容扫描作业

安装Microsoft Purview 信息保护扫描程序以扫描网络和内容共享中的敏感数据,并应用组织策略中配置的分类和保护标签。

配置和管理内容扫描作业时,请使用以下过程,而不是商业产品/服务使用的 Microsoft Purview 门户。

若要安装和配置扫描程序,请执行以下操作

  1. 登录到将运行扫描程序的 Windows Server 计算机。 使用具有本地管理员权限并有权写入 SQL Server 主数据库的帐户。

  2. 在关闭 PowerShell 的情况下开始。 如果以前已安装信息保护扫描程序,请确保已停止Microsoft Purview 信息保护扫描程序服务。

  3. 使用“以管理员身份运行”选项打开 Windows PowerShell 会话。

  4. 运行 Install-Scanner cmdlet,指定要为其创建Microsoft Purview 信息保护扫描程序的数据库的SQL Server实例,并为扫描程序群集指定有意义的名称。

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>

    小窍门

    可以在 Install-Scanner 命令中使用同一群集名称,将多个扫描程序节点关联到同一群集。 对多个扫描程序节点使用同一群集可以使多个扫描程序协同工作以执行扫描。

  5. 使用“管理工具”>“服务”验证现在是否安装了该服务。

    已安装的服务名为“Microsoft Purview 信息保护扫描程序”,并配置为使用创建的扫描程序服务帐户运行。

  6. 获取用于扫描程序的 Azure 令牌。 Microsoft Entra令牌允许扫描程序向 Azure Rights Management 加密服务进行身份验证,使扫描程序能够以非交互方式运行。

    1. 打开Azure 门户并创建Microsoft Entra应用程序以指定用于身份验证的访问令牌。 有关详细信息,请参阅 在无人参与的情况下运行信息保护标记 cmdlet

      小窍门

      “设置身份验证”命令创建和配置Microsoft Entra应用程序时,“请求 API 权限”窗格将显示组织使用的 API 选项卡,而不是“Microsoft API”选项卡。选择组织用于的 API,然后选择“Azure Rights Management Services”。

    2. 在 Windows Server 计算机上,如果扫描程序服务帐户已被授予安装的“在本机登录”权限,请使用此帐户登录并启动 PowerShell 会话。

      如果无法向扫描程序服务帐户授予安装 本地登录 权限,请使用 OnBehalfOf 参数和 Set-Authentication,如 无人参与地运行信息保护标记 cmdlet 中所述。

    3. 运行 Set-Authentication,指定从 Microsoft Entra 应用程序复制的值:

      Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

      例如:

      $pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    扫描程序现在具有一个令牌,用于Microsoft Entra ID 进行身份验证。 此令牌的有效期为一年、两年或从不,根据你的 Web 应用 /API 客户端密码配置Microsoft Entra ID。 当令牌过期时,你必须重复此过程。

  7. 运行 Set-ScannerConfiguration cmdlet,将扫描程序设置为在脱机模式下运行。 运行:

    Set-ScannerConfiguration -OnlineConfiguration Off

  8. 运行 Set-ScannerContentScanJob cmdlet 以创建默认内容扫描作业。

    Set-ScannerContentScanJob cmdlet 中唯一必需的参数是 Enforce。 但是,此时你可能需要为内容扫描作业定义其他设置。 例如:

    Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    在你继续配置时,上述语法会配置以下设置:

    • 将扫描程序运行计划保持为“手动
    • 根据敏感度标记策略设置要发现的信息类型
    • 强制实施敏感度标记策略
    • 使用为敏感度标记策略定义的默认标签,根据内容自动标记文件
    • 允许重新标记文件
    • 在扫描和自动标记时保留文件详细信息,包括修改日期上次修改时间修改者
    • 将扫描程序设置为在运行时排除 .msg 和 .tmp 文件
    • 将默认所有者设置为在运行扫描程序时要使用的帐户

  9. 使用 Add-ScannerRepository cmdlet 定义要在内容扫描作业中扫描的存储库。 例如,运行:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    根据所添加的存储库类型使用以下语法之一:

    • 对于网络共享,请使用 \\Server\Folder
    • 对于 SharePoint 库,请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
    • 对于本地路径:C:\Folder
    • 对于 UNC 路径:\\Server\Folder

    注释

    不支持通配符,不支持 WebDav 位置。

    若要稍后修改存储库,请改用 Set-ScannerRepository cmdlet。

下表列出了与安装扫描程序和管理内容扫描作业相关的 PowerShell cmdlet:

Cmdlet Description
Add-ScannerRepository 将新的存储库添加到内容扫描作业。
Get-ScannerConfiguration 返回有关群集的详细信息。
Get-ScannerContentScan 获取内容扫描作业的详细信息。
Get-ScannerRepository 获取定义用于内容扫描作业的存储库的详细信息。
Remove-ScannerContentScan 删除内容扫描作业。
Remove-ScannerRepository 从内容扫描作业中删除存储库。
Set-ScannerContentScan 定义内容扫描作业的设置。
Set-ScannerRepository 定义内容扫描作业中现有存储库的设置。
  • Last updated on