由世纪互联运营的Office 365的Microsoft Purview 信息保护

本文介绍世纪互联运营Office 365 Microsoft Purview 信息保护支持与仅限于以前称为Azure 信息保护的商业产品/服务之间的差异(AIP)以及中国客户的具体配置说明,包括如何安装信息保护扫描程序和管理内容扫描作业。

世纪互联和商业产品/服务之间的差异

虽然我们的目标是为中国的客户提供Microsoft Purview 信息保护支持世纪互联运营的Office 365的所有商业特性和功能,但缺少一些功能:

  • Active Directory Rights Management Services (AD RMS) 加密仅在 Microsoft 365 企业应用版(内部版本 11731.10000 或更高版本)中受支持。 Office Professional Plus 不支持 AD RMS。

  • 从 AD RMS 迁移到 Azure Rights Management 服务目前不可用。

  • 支持与商业云中的用户共享加密电子邮件。

  • 目前无法与商业云中的用户共享文档和电子邮件附件。 这包括由商业云中的世纪互联用户运营Office 365,商业云中由世纪互联用户运营的非Office 365,以及具有个人 RMS 许可证的用户。

  • SharePoint(受 IRM 保护的站点和库)的 IRM 当前不可用。

  • 适用于 AD RMS 的移动设备扩展当前不可用。

  • 适用于 iOS 和 Android 的 Microsoft Purview 信息保护 查看器不受世纪互联运营的 Azure 支持。

  • Microsoft Purview 门户的扫描仪区域对中国的客户不可用。 使用 PowerShell 命令而不是在门户中执行操作,例如管理和运行内容扫描作业。

  • 世纪互联环境中Microsoft Purview 信息保护客户端的网络终结点不同于其他云服务所需的终结点。 需要从客户端到以下终结点的网络连接:

    • 下载标签和标签策略: *.protection.partner.outlook.cn
    • Azure Rights Management 服务:*.aadrm.cn
  • 用户文档跟踪和吊销当前不可用。

世纪互联客户配置

若要为世纪互联运营的Office 365配置Microsoft Purview 信息保护支持:

  1. 为租户启用权限

  2. 添加Microsoft 信息保护同步服务服务主体

  3. 配置 DNS 加密

  4. Install 并配置Microsoft Purview 信息保护客户端

  5. 配置Windows设置

  6. 安装信息保护扫描程序并管理内容扫描作业

步骤 1:为租户启用权限管理

若要使加密正常工作,必须为租户启用Azure Rights Management 服务。

  1. 检查是否启用了此服务:

    1. 以管理员身份启动 PowerShell。
    2. 如果未安装 AIPService 模块,请运行 Install-Module AipService
    3. 使用 Import-Module AipService
    4. 使用 Connect-AipService -environmentname azurechinacloud连接到服务。
    5. 运行 (Get-AipServiceConfiguration).FunctionalState ,检查状态是否 Enabled
  2. 如果功能状态为 Disabled,请运行 Enable-AipService

步骤 2:添加Microsoft 信息保护同步服务服务主体

Microsoft 信息保护同步服务服务主体在默认情况下由世纪互联租户运营的Azure不可用,Microsoft Purview 信息保护是必需的。 通过 Azure Az PowerShell 模块手动创建此服务主体。

  1. 如果没有安装 Azure Az 模块,请安装它或使用预安装 Azure Az 模块的资源。 有关详细信息,请参阅 安装 Azure Az PowerShell 模块

  2. 使用 Connect-AzAccount cmdlet 和 azurechinacloud 环境名称连接到服务:

    Connect-azaccount -environmentname azurechinacloud
    
  3. 使用 New-AzADServicePrincipal< cmdlet 和 Microsoft Purview 信息保护 应用程序 ID 手动创建 Microsoft 信息保护 c0>Microsoft 信息保护 同步服务>服务主体:

    New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
    
  4. 添加服务主体后,请添加服务所需的相关权限。

步骤 3:配置 DNS 加密

为使加密能正常工作,Office 客户端应用程序必须连接到服务的中国实例并请从其中启动。 若要将客户端应用程序重定向到正确的服务实例,租户管理员必须配置 DNS SRV 记录,其中包含有关 Azure Rights Management 服务的 URL 的信息。 如果没有 DNS SRV 记录,客户端应用程序会默认尝试连接到公有云实例,并且会失败。

此外,假设用户将会使用基于租户拥有的域(例如 joe@contoso.cn)而不是 onmschina 用户名(例如 joe@contoso.onmschina.cn)登录。 用户名中的域名用于 DNS 重定向到正确的服务实例。

配置 DNS 加密 - Windows

  1. 获取Azure Rights Management 服务 ID:

    1. 以管理员身份启动 PowerShell。
    2. 如果未安装 AIPService 模块,请运行 Install-Module AipService
    3. 使用 Connect-AipService -environmentname azurechinacloud连接到服务。
    4. 运行 (Get-AipServiceConfiguration).RightsManagementServiceId 以获取服务 ID。
  2. 登录到您的 DNS 提供商,导航到域的 DNS 设置,然后添加新的 SRV 记录。

    • 服务 = _rmsredir
    • 协议 = _http
    • 名称 = _tcp
    • 目标 = [GUID].rms.aadrm.cn(其中 GUID 是 Azure Rights Management 服务 ID)
    • 优先级、权重、秒数、TTL = 默认值
  3. Azure 门户中将自定义域与租户相关联。 这会在 DNS 中添加一个条目,在将值添加到 DNS 设置后,可能需要几分钟时间才能验证。

  4. 使用相应的合规性管理员凭据登录到Microsoft 365 管理中心,并添加域(例如,contoso.cn),以创建用户。 在验证过程中,可能需要其他 DNS 更改。 验证完成后,可创建用户。

配置 DNS 加密 - Mac、iOS、Android

登录到您的 DNS 提供商,导航到域的 DNS 设置,然后添加新的 SRV 记录。

  • 服务 = _rmsdisco
  • 协议 = _http
  • 名称 = _tcp
  • 目标 = api.aadrm.cn
  • 端口 = 80
  • 优先级、权重、秒数、TTL = 默认值

步骤 4:安装和配置标记客户端

Microsoft 下载中心 下载并安装Microsoft Purview 信息保护客户端。

步骤 5:配置Windows设置

Windows需要以下注册表项进行身份验证,才能指向世纪互联运营Azure的正确主权云:

  • 注册表节点 = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
  • 名称 = CloudEnvType
  • 值 = 6(默认 = 0)
  • 类型 = REG_DWORD

重要

请确保卸载后不会删除注册表项。 如果密钥为空、不正确或不存在,则功能将按默认值(商业云的默认值 = 0)运行。 如果密钥为空或不正确,也会向日志添加打印错误。

步骤 6:安装信息保护扫描程序并管理内容扫描作业

安装Microsoft Purview 信息保护扫描程序以扫描网络和内容共享中的敏感数据,并应用组织策略中配置的分类和保护标签。

配置和管理内容扫描作业时,请使用以下过程,而不是商业产品/服务使用的Microsoft Purview 门户。

若要安装和配置扫描程序,请执行以下操作

  1. 登录到将运行扫描程序的Windows Server计算机。 使用具有本地管理员权限且有权写入 SQL Server master 数据库的帐户。

  2. 在关闭 PowerShell 的情况下开始。 如果以前安装了信息保护扫描程序,请确保Microsoft Purview 信息保护扫描程序服务已停止。

  3. 使用 Run 作为管理员选项打开 Windows PowerShell 会话。

  4. 运行 Install-Scanner cmdlet,指定要在其中为Microsoft Purview 信息保护扫描程序创建数据库的SQL Server实例,并为扫描程序群集指定有意义的名称。

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    小窍门

    可以在 Install-Scanner 命令中使用同一群集名称,将多个扫描程序节点关联到同一群集。 对多个扫描程序节点使用同一群集可以使多个扫描程序协同工作以执行扫描。

  5. 使用“管理工具”>“服务”验证现在是否安装了该服务。

    已安装的服务名为 Microsoft Purview 信息保护 Scanner,并且配置为使用创建的扫描程序服务帐户运行。

  6. 获取用于扫描程序的Azure令牌。 Microsoft Entra令牌允许扫描程序向 Azure Rights Management 加密服务进行身份验证,从而使扫描程序能够以非交互方式运行。

    1. 打开Azure门户并创建Microsoft Entra应用程序,以指定用于身份验证的访问令牌。 有关详细信息,请参阅 在无人参与的情况下运行信息保护标记 cmdlet

      小窍门

      Set-Authentication 命令创建和配置Microsoft Entra应用程序时, Request API 权限窗格显示组织使用的 APIs 选项卡,而不是 Microsoft API 选项卡。 选择组织使用的 APIs 然后选择 AzureRights Management Services

    2. 在 Windows Server 计算机上,如果扫描程序服务帐户已在本地授予 Log 权限进行安装,请使用此帐户登录并启动 PowerShell 会话。

      如果无法向扫描程序服务帐户授予安装 本地登录 权限,请使用 OnBehalfOf 参数和 Set-Authentication,如 无人参与地运行信息保护标记 cmdlet 中所述。

    3. 运行 Set-Authentication,指定从Microsoft Entra应用程序复制的值:

      Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
      

      例如:

      $pscreds = Get-Credential CONTOSO\scanner
      Set-Authentication -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -AppSecret "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2" -DelegatedUser scanner@contoso.com -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -OnBehalfOf $pscreds
      Acquired application access token on behalf of CONTOSO\scanner.
      

    扫描程序现在有一个令牌,用于向Microsoft Entra ID进行身份验证。 根据Microsoft Entra ID中Web 应用 /API 客户端密码的配置,此令牌有效期为一年、两年或永不有效。 当令牌过期时,你必须重复此过程。

  7. 运行 Set-ScannerConfiguration cmdlet,将扫描程序设置为在脱机模式下运行。 运行:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  8. 运行 Set-ScannerContentScanJob cmdlet 以创建默认内容扫描作业。

    Set-ScannerContentScanJob cmdlet 中唯一必需的参数是 Enforce。 但是,此时你可能需要为内容扫描作业定义其他设置。 例如:

    Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    在你继续配置时,上述语法会配置以下设置:

    • 将扫描程序运行计划保持为“手动
    • 根据敏感度标记策略设置要发现的信息类型
    • 强制实施敏感度标记策略
    • 使用为敏感度标记策略定义的默认标签,根据内容自动标记文件
    • 允许重新标记文件
    • 在扫描和自动标记时保留文件详细信息,包括修改日期上次修改时间修改者
    • 将扫描程序设置为在运行时排除 .msg 和 .tmp 文件
    • 将默认所有者设置为在运行扫描程序时要使用的帐户
  9. 使用 Add-ScannerRepository cmdlet 定义要在内容扫描作业中扫描的存储库。 例如,运行:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    根据所添加的存储库类型使用以下语法之一:

    • 对于网络共享,请使用 \\Server\Folder
    • 对于SharePoint 库,请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
    • 对于本地路径:C:\Folder
    • 对于 UNC 路径:\\Server\Folder

    注释

    不支持通配符,不支持 WebDav 位置。

    若要稍后修改存储库,请改用 Set-ScannerRepository cmdlet。

下表列出了与安装扫描程序和管理内容扫描作业相关的 PowerShell cmdlet:

Cmdlet Description
Add-ScannerRepository 将新的存储库添加到内容扫描作业。
Get-ScannerConfiguration 返回有关群集的详细信息。
Get-ScannerContentScan 获取内容扫描作业的详细信息。
Get-ScannerRepository 获取定义用于内容扫描作业的存储库的详细信息。
Remove-ScannerContentScan 删除内容扫描作业。
Remove-ScannerRepository 从内容扫描作业中删除存储库。
Set-ScannerContentScan 定义内容扫描作业的设置。
Set-ScannerRepository 定义内容扫描作业中现有存储库的设置。