Requisitos de Azure Information Protection.
Nota:
¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.
El cliente de Microsoft Purview Information Protection (sin el complemento) está disponible con carácter general.
Antes de implementar Azure Information Protection, asegúrese de que el sistema cumple los siguientes requisitos previos:
Firewalls e infraestructura de red
Si tiene firewalls o dispositivos de red de intervención similares que están configurados para permitir conexiones específicas, los requisitos de conectividad de red se enumeran en este artículo de Office: Microsoft 365 Common y Office Online.
Azure Information Protection tiene los siguientes requisitos adicionales:
Cliente de Microsoft Purview Informaiton Protection. Para descargar etiquetas y directivas de etiquetas, permita la siguiente dirección URL a través de HTTPS: *.protection.outlook.com
Proxies web Si utiliza un proxy web que requiere autenticación, debe configurar el proxy para que utilice la autenticación integrada de Windows con las credenciales de inicio de sesión de Active Directory del usuario.
Para admitir archivos Proxy.pac al usar un proxy para adquirir un token, agregue la siguiente nueva clave del registro:
- Ruta de acceso:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
- Clave:
UseDefaultCredentialsInProxy
- Tipo:
DWORD
- Valor:
1
- Ruta de acceso:
Conexiones de cliente a servicio TLS. No finalice ninguna conexión de cliente a servicio TLS, por ejemplo, para realizar la inspección de nivel de paquete, en la dirección URL de aadrm.com . Si lo hace, interrumpirá la asignación de certificados que los clientes de RMS utilizan con las entidades de certificación administradas por Microsoft para ayudar a proteger su comunicación con el servicio Azure Rights Management.
Para determinar si la conexión de cliente finaliza antes de que llegue al servicio Azure Rights Management, use los siguientes comandos de PowerShell:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer
El resultado debería mostrar que la CA emisora es de una CA de Microsoft, por ejemplo:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
.Si ve un nombre de entidad de certificación emisora que no es de Microsoft, es probable que la conexión segura de cliente a servicio finalice y necesite reconfiguración en el firewall.
TLS versión 1.2 o posterior (solo cliente de etiquetado unificado). El cliente de etiquetado unificado requiere una versión TLS de 1.2 o posterior para garantizar el uso de protocolos criptográficos seguros y alinearse con las directrices de seguridad de Microsoft.
Servicio de configuración mejorado (ECS) de Microsoft 365. AIP debe tener acceso a la dirección URL de config.edge.skype.com, que es un servicio de configuración mejorada (ECS) de Microsoft 365.
ECS proporciona a Microsoft la capacidad de volver a configurar las instalaciones de AIP sin tener que volver a implementar AIP. Se utiliza para controlar la implementación gradual de características o actualizaciones mientras se supervisa el impacto de la implementación a partir de los datos de diagnóstico que se recopilan.
ECS también sirve para reducir los problemas de seguridad o de rendimiento con una característica o una actualización. ECS también admite cambios de configuración relacionados con los datos de diagnóstico, para ayudar a garantizar que se están recopilando los eventos adecuados.
Limitar la dirección URL de config.edge.skype.com puede afectar a la capacidad de Microsoft para mitigar los errores y puede afectar a la capacidad de probar las características en versión preliminar.
Para más información, consulte Servicios esenciales para Office: Implementación de Office.
Auditar la conectividad de red de la dirección URL de registro. AIP debe poder acceder a las siguientes direcciones URL para admitir los registros de auditoría de AIP:
https://*.events.data.microsoft.com
https://*.aria.microsoft.com
(Solo datos de dispositivos Android)
Para más información, consulte Requisitos previos para la elaboración de informes AIP.
Coexistencia de AD RMS con Azure RMS
El uso de AD RMS y Azure RMS en paralelo, en la misma organización, para proteger el contenido por el mismo usuario de la misma organización, solo se admite en la protección de AD RMS para HYOK (mantener su propia clave) con Azure Information Protection.
Este escenario no es compatible durante la migración. Las rutas de migración admitidas incluyen:
Sugerencia
Si implementa Azure Information Protection y decide que ya no desea usar este servicio en la nube, consulte Retirada y desactivación de Azure Information Protection.
En otros escenarios que no son de migración, donde ambos servicios están activos en la misma organización, ambos servicios deben configurarse para que solo uno de ellos permita a cualquier usuario determinado proteger el contenido. Configure estos escenarios como se indica a continuación:
Uso de redirecciones para una migración de AD RMS a Azure RMS
Si ambos servicios deben estar activos para distintos usuarios al mismo tiempo, use configuraciones del lado del servicio para aplicar la exclusividad. Use los controles de incorporación de Azure RMS en el servicio en la nube y una ACL en la dirección URL de publicación para establecer el modo de solo lectura para AD RMS.
Etiquetas de servicio
Si usa un punto de conexión de Azure y un NSG, asegúrese de permitir el acceso a todos los puertos para las siguientes etiquetas de servicio:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Además, en este caso, el servicio Azure Information Protection también depende de las siguientes direcciones IP y puerto:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Puerto 443 para el tráfico HTTPS
Asegúrese de crear reglas que permitan el acceso saliente a estas direcciones IP específicas y a través de este puerto.
Servidores locales admitidos para la protección de datos de Azure Rights Management
Los siguientes servidores locales se admiten con Azure Information Protection cuando se usa el conector de Microsoft Rights Management.
Este conector actúa como una interfaz de comunicaciones y retransmite entre servidores locales y el servicio Azure Rights Management, que Azure Information Protection usa para proteger documentos y correos electrónicos de Office.
Para usar este conector, debe configurar la sincronización de directorios entre los bosques de Active Directory y el identificador de Microsoft Entra.
Los servidores compatibles son:
Tipo de servidor | Versiones compatibles |
---|---|
Exchange Server | - Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013 |
Office SharePoint Server | - Office SharePoint Server 2019 - Office SharePoint Server 2016 - Office SharePoint Server 2013 |
Servidores de archivos que ejecutan Windows Server y usan Infraestructura de clasificación de archivos (FCI) | - Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012 |
Para más información, consulte Implementación del conector de Microsoft Rights Management.
Sistemas operativos compatibles con Azure Rights Management
Los siguientes sistemas operativos admiten el servicio Azure Rights Management, que proporciona protección de datos para AIP:
SISTEMA OPERATIVO | Versiones compatibles |
---|---|
Equipos Windows | - Windows 10 (x86, x64) - Windows 11 (x86, x64) |
macOS | Versión mínima de macOS 10.8 (Mountain Lion) |
Teléfonos y tabletas Android | Versión mínima de Android 6.0 |
iPhone e iPad | Versión mínima de iOS 11.0 |
Teléfonos y tabletas Windows | Windows 10 Mobile |
Pasos siguientes
Una vez que haya revisado todos los requisitos de AIP y haya confirmado que el sistema cumple, continúe con Preparación de usuarios y grupos para Azure Information Protection.