- Entre no portal do Azure com um usuário que esteja definido como superusuário na conta organizacional no Azure.
- No painel de navegação à esquerda, selecione o serviço do Azure Active Directory e, em seguida, selecione registros do aplicativo, novo registro.
- Na página registrar um aplicativo , digite as informações de registro do aplicativo:
- Nome — Insira um nome de aplicativo significativo que é exibido para os usuários do aplicativo.
- Tipos de conta compatíveis — selecione contas somente neste diretório organizacional.
Redirect URl (optional) — Você pode deixar esse campo em branco.
- Selecione Registrar-se. O AD do Azure atribui uma ID de aplicativo (cliente) exclusiva ao seu aplicativo, e você é redirecionado para a página de visão geral do aplicativo.
- Copie os valores de dois campos: ID do aplicativo (cliente) e ID de diretório (locatário). Você precisará delas mais tarde para criar a configuração do servidor do Azure em servidores registrados do ePO.
- Clique em permissões de API em gerenciare, em seguida, clique em Adicionar uma permissão. A página solicitar permissões de API é exibida.
- Adicione as APIs MIP e as permissões necessárias para o aplicativo no tempo de execução:
- Na página selecionar uma API , clique em Azure Rights Management Services.
- Na página API do Azure Rights Management Services , clique em permissões do aplicativo.
- Na seção selecionar permissões , expanda o nó conteúdo e selecione conteúdo. DelegatedReader, Content. DelegatedWritere permissões de conteúdo .SuperUser. Essa opção permite que o aplicativo crie e acesse o conteúdo protegido de todos os usuários em sua conta organizacional no Azure.
- Clique em adicionar permissões para salvar.
- Repita a etapa 7 acima e pesquise na API a partir da página selecionar uma API .
- Na página selecionar uma API , clique em APIs que minha organização usa. No campo Pesquisar, digite Microsoft serviço de sincronização da proteção de informações e selecione-o.
- Na página API do serviço de sincronização do Microsoft Information Protection , clique em permissões do aplicativo.
- Expanda o nó UnifiedPolicy e verifique UnifiedPolicy. locatário. Read.
- Clique em adicionar permissões para salvar.
- Na página permissões de API , clique em conceder consentimento do administrador para (nome do locatário)e, em seguida, clique em Sim. Essa seleção fornece o consentimento para o aplicativo que usa esse registro, para acessar as APIs sob as permissões especificadas. Se você entrar como administrador global, o consentimento será registrado para todos os usuários no locatário que executam o aplicativo. Caso contrário, ela se aplicará somente à sua conta de usuário.
- Clique
Certificates e secrets em gerenciar e, em seguida, clique em novo segredo cliente:- Adicione uma descrição para o seu segredo cliente, selecione uma duração e clique em Adicionar.
- Copie e salve o valor de segredo cliente criado.
Como configurar o MIP do Azure no Data Loss Prevention
Artigos técnicos ID:
KB91833
Última modificação: 2022-10-03 18:54:49 Etc/GMT
Última modificação: 2022-10-03 18:54:49 Etc/GMT
Ambiente
Terminal 11.6.x de DLP, 11.5.x
Resumo
Este artigo fornece informações sobre o suporte ao Azure Microsoft Information Protection (MIP) no Discover 11.4.x e no DLP Endpoint 11.6.x do DLP, 11.5.x. além de fornecer o processo de configuração necessário para usá-lo.
Nota: Quando você registra vários servidores do Azure no ePolicy Orchestrator (ePO), ele pode causar o desempenho slowness. Recomendamos que você adicione apenas os servidores do Azure de que precisa.
Execute as seguintes tarefas:
Nota: Quando você registra vários servidores do Azure no ePolicy Orchestrator (ePO), ele pode causar o desempenho slowness. Recomendamos que você adicione apenas os servidores do Azure de que precisa.
Execute as seguintes tarefas:
- Registrar um aplicativo cliente com o Azure Active Directory (AD):
Para usar a função MIP do Azure no servidor de descoberta DLP, o aplicativo cliente deve ser registrado com o AD do Azure. Para registrar o aplicativo cliente, execute as seguintes etapas:
Para usar as funções do Azure com o DLP EndPoint, o aplicativo cliente deve ser registrado com o AD do Azure. Para registrar o aplicativo cliente, execute as seguintes etapas:
Nota: Atualmente, a DLP só oferece suporte a ambientes corporativos que usam AD híbridos do Azure (serviços de Federação, sincronização de hash de senha).
- Entre no portal do Azure com um usuário que esteja definido como superusuário na conta organizacional no Azure.
- No painel de navegação à esquerda, selecione o serviço do Azure Active Directory e, em seguida, selecione registros do aplicativo, novo registro.
- Na página registrar um aplicativo, digite as informações de registro do aplicativo:
- Nome: Insira um nome de aplicativo significativo que seja exibido aos usuários do aplicativo.
- Tipos de conta compatíveis: Selecione contas somente neste diretório organizacional.
Redirect URl (optional) : Este campo pode ser deixado em branco.
- Selecione Registrar-se. O AD do Azure atribui uma ID de aplicativo (cliente) exclusiva ao seu aplicativo, e você é redirecionado para a página de visão geral do aplicativo.
- Copie os valores de dois campos: ID do aplicativo (cliente) e ID de diretório (locatário). Você precisará delas mais tarde para criar a configuração do servidor do Azure em servidores registrados do ePO.
- Na lista de páginas do aplicativo, selecione manifestoe execute o seguinte procedimento:
- Defina a propriedade allowPublicClient Exemplo true no editor de manifestos.
- Clique em salvar na barra acima do editor do manifesto.
- Verifique se signInAudience está definido como AzureADandPersonalMicrosoftAccount.
- Verifique se accessTokenAcceptedVersion está definido como 2.
- Clique em permissões de API em gerenciare, em seguida, clique em Adicionar uma permissão. A página solicitar permissões de API é exibida.
- Adicione as APIs MIP e as permissões necessárias para o aplicativo no tempo de execução:
- Na página selecionar uma API , clique em Azure Rights Management Services.
- Na página API do Azure Rights Management Services , clique em permissões do aplicativo.
- Na seção selecionar permissões , expanda o nó conteúdo e selecione Content. DelegatedReader, Content. DelegatedWriter, Content. Writer e Content. superuser. Essa opção permite que o aplicativo crie e acesse o conteúdo protegido de todos os usuários em sua conta organizacional no Azure.
- Altere o tipo de permissões para permissões delegadase selecione user_impersonation permissão.
- Clique em adicionar permissões para salvar.
- Repita a etapa 7 e pesquise na API a partir da página selecionar uma API :
- Na página selecionar uma API , clique em APIs que minha organização usa. No campo Pesquisar, digite Microsoft serviço de sincronização da proteção de informações e selecione-o.
- Na página API do serviço de sincronização do Microsoft Information Protection , clique em permissões do aplicativo.
- Expanda o nó UnifiedPolicy e selecione UnifiedPolicy. locatário. Read.
- Altere para permissões delegadase selecione UnifiedPolicy. User. Read.
- Clique em adicionar permissões para salvar.
- Repita a etapa 7 e pesquise na API a partir da página selecionar uma API :
- Na página selecionar uma API , clique em Microsoft Graph.
- Na página Microsoft Graph , clique em permissões do aplicativo.
- Na seção selecionar permissões , selecione
usuário. ler. tudo, política. ler .All membro. Read. Hidden, InformationProtectionPolicy. Read. All, Group. Read. tudo, Domain. ReadWrite. All, Device. ReadWrite.All, Application. ReadWrite. OwnedBye Application. ReadWrite . All. - Altere o tipo de permissões para permissões delegadase selecione
User. Read, User. Read. All, User. ReadBasic. Alle Group. Read. All Permissions. - Clique em adicionar permissões para salvar.
- Na página permissões de API , clique em conceder consentimento de administrador para (nome do locatário) e Sim. Essa seleção fornece um consentimento para o aplicativo que usa esse registro para acessar as APIs sob as permissões especificadas. Se você entrar como administrador global, o consentimento será registrado para todos os usuários no locatário que executam o aplicativo. Caso contrário, ela se aplicará somente à sua conta de usuário.
- Clique
Certificates e secrets em gerenciare, em seguida, clique em novo segredo cliente:- Adicione uma descrição para o seu segredo cliente, selecione a duração e clique em Adicionar.
- Copie e salve o valor de segredo cliente criado.
- Consulte proteção de informações e execute os seguintes procedimentos ao configurar rótulos:
- Se o rótulo estiver definido como criptografia, certifique-se de que os usuários que usam o rótulo tenham, pelo menos, os direitos de coproprietário no rótulo.
- Verifique se o rótulo está definido para a política usada:
- Vá para políticas de etiqueta e verifique se o rótulo está visível na seção Rótulos publicados .
- Atribua o rótulo usando a opção Editar política , caso não esteja visível.
Para obter mais informações sobre como criar e publicar rótulos, consulte a documentação do Microsoft.
- Registrar um servidor do Azure em servidores registrados do ePO.
Depois que o aplicativo cliente for criado no portal do Azure, você precisará definir um servidor do Azure na configuração do ePO.
Nota: Verifique se o proprietário do gerenciamento de direitos é o proprietário do aplicativo no aplicativo que você está usando. Você pode exibi-lo na guia proprietários , em configurações do aplicativo.
Além disso, os rótulos usados no Azure devem ser adicionados manualmente à definição do servidor.
Esses rótulos podem ser selecionados quando você define uma reação de política de RM para o servidor do Azure. Para obter mais detalhes sobre essa tarefa, consulte o Guia de instalação do Data Loss Prevention para obter a versão do produto.
- Registre um servidor do Azure para obter Microsoft a proteção de informações.
Nota: Este tópico é aplicável ao terminal DLP para uso com MVISION ePO. O DLP Endpoint para uso com MVISION ePO pode integrar-se com o Azure Microsoft Information Protection (MIP).
Registre um servidor do Azure e os rótulos de proteção para que você possa selecioná-lo para proteção nas reações de regras.
- Em MVISION ePO, selecione menu, DLP Gerenciador de políticas, definições.
- No painel esquerdo, na categoria servidores RM , selecione Microsoft proteção de informações. Clique em ações, novo item.
- Digite um nome para a configuração do servidor e a descrição opcional.
- Insira a ID do aplicativo (cliente) e a ID de diretório (locatário) conforme definido em seus detalhes de registro de aplicativo do Azure.
- Insira cada nome de rótulo do AIP e ID de rótulo do AIP conforme ele aparece em sua conta do Azure.
- Clique em salvar quando tiver concluído a configuração.
Os rótulos do servidor do Azure e da proteção de informações agora são salvos.
Você pode criar uma classificação usando os rótulos de proteção de informações do Azure e adicioná-lo a uma regra de proteção de dados.
Para obter documentos do produto, vá para o portal de documentação do produto.
Informações relacionadas
Solução de problemas de aquisição de token do Azure
Localize o seguinte conteúdo de registro do extrator de texto DLP:
"... AcquireADALToken] Failed to acquire token, status:" <Status#>
Exemplo: "AcquireADALToken] Falha ao adquirir token, status: CAA20003"
conversão de código de status:
CAA2000C -a solicitação requer interação com o usuário.
Isso significa que a aquisição de token silenciosa falha.
Verifique o seguinte:
Este erro indica que o nome de usuário/senha está incorreto para AD autenticação de senha. Verifique se o nome do usuário e a senha estão corretos.
CAA82EE7 -o nome do servidor não pode ser resolvido.
Para obter mais informações, consulte esta documentação.
CAA90018 -não é possível descobrir um território de usuário.
Para obter mais informações, consulte a documentação do Microsoft.
Falha ao se conectar a um ponto de extremidade de território do usuário e executar descoberta de território. (Windows 10 somente a versão 1809 e posteriores).
Localize o seguinte conteúdo de registro do extrator de texto DLP:
Exemplo: "AcquireADALToken] Falha ao adquirir token, status: CAA20003"
conversão de código de status:
CAA2000C -a solicitação requer interação com o usuário.
Isso significa que a aquisição de token silenciosa falha.
Verifique o seguinte:
- O Azure AD logon único e sem interrupção (SSO) é selecionado como o método de autenticação.
- A autenticação multifator (MFA) está desativada para o aplicativo.
- Na seção permissões, o consentimento do administrador deve ser concedido.
Este erro indica que o nome de usuário/senha está incorreto para AD autenticação de senha. Verifique se o nome do usuário e a senha estão corretos.
CAA82EE7 -o nome do servidor não pode ser resolvido.
Para obter mais informações, consulte esta documentação.
CAA90018 -não é possível descobrir um território de usuário.
Para obter mais informações, consulte a documentação do Microsoft.
Falha ao se conectar a um ponto de extremidade de território do usuário e executar descoberta de território. (Windows 10 somente a versão 1809 e posteriores).
- O dispositivo deve ter acesso a Microsoft no contexto do sistema. Esse acesso permite que o dispositivo execute a descoberta de território para o domínio verificado. Ele também precisa determinar o tipo de domínio (gerenciado ou federado).
- Se o ambiente local precisar de um proxy de saída, o TI deverá verificar se o contexto do sistema no dispositivo pode descobrir e se autenticar silenciosamente no proxy de saída.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: