Wymagania usługi Azure Information Protection
Uwaga
Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?
Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.
Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.
Przed wdrożeniem usługi Azure Information Protection upewnij się, że system spełnia następujące wymagania wstępne:
Zapory i infrastruktura sieci
Jeśli masz zapory lub podobne interweniujące urządzenia sieciowe skonfigurowane do zezwalania na określone połączenia, wymagania dotyczące łączności sieciowej są wymienione w tym artykule pakietu Office: Microsoft 365 Common and Office Online.
Usługa Azure Information Protection ma następujące dodatkowe wymagania:
Klient usługi Microsoft Purview Informaiton Protection. Aby pobrać etykiety i zasady etykiet, zezwól na następujący adres URL za pośrednictwem protokołu HTTPS: *.protection.outlook.com
Serwery proxy sieci Web. Jeśli używasz internetowego serwera proxy wymagającego uwierzytelniania, musisz skonfigurować serwer proxy do korzystania ze zintegrowanego uwierzytelniania systemu Windows przy użyciu poświadczeń logowania użytkownika usługi Active Directory.
Aby obsługiwać pliki Proxy.pac podczas używania serwera proxy do uzyskania tokenu, dodaj następujący nowy klucz rejestru:
- Ścieżka:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
- Klucz:
UseDefaultCredentialsInProxy
- Typ:
DWORD
- Wartość:
1
- Ścieżka:
Połączenia typu klient-usługa TLS. Nie przerywaj żadnych połączeń TLS typu klient-usługa, na przykład w celu przeprowadzenia inspekcji na poziomie pakietów, do adresu URL aadrm.com . W przeciwnym razie zostanie przerwane przypinanie certyfikatów, którego używają klienci usługi RMS w przypadku zarządzanych przez firmę Microsoft urzędów certyfikacji w celu zabezpieczania swojej komunikacji z usługą Azure Rights Management.
Aby określić, czy połączenie klienta zostało zakończone przed dotarciem do usługi Azure Rights Management, użyj następujących poleceń programu PowerShell:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer
Wynik powinien wskazywać, że urząd wystawiający certyfikaty pochodzi z urzędu certyfikacji firmy Microsoft, na przykład:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
.Jeśli widzisz nazwę urzędu wystawiającego certyfikaty, która nie pochodzi od firmy Microsoft, prawdopodobnie bezpieczne połączenie klient-usługa zostanie przerwane i wymaga ponownej konfiguracji zapory.
Protokół TLS w wersji 1.2 lub nowszej (tylko klient ujednoliconego etykietowania). Klient ujednoliconego etykietowania wymaga protokołu TLS w wersji 1.2 lub nowszej, aby zapewnić użycie kryptograficznie bezpiecznych protokołów i dostosować je do wytycznych firmy Microsoft dotyczących zabezpieczeń.
Usługa konfiguracji rozszerzonej platformy Microsoft 365 (ECS). Usługa AIP musi mieć dostęp do adresu URL config.edge.skype.com , który jest usługą konfiguracji rozszerzonej platformy Microsoft 365 (ECS).
Usługa ECS umożliwia firmie Microsoft ponowne konfigurowanie instalacji usługi AIP bez konieczności ponownego wdrażania usługi AIP. Służy do kontrolowania stopniowego wdrażania funkcji lub aktualizacji, podczas gdy wpływ wdrożenia jest monitorowany na podstawie zbieranych danych diagnostycznych.
Usługa ECS służy również do eliminowania problemów z zabezpieczeniami lub wydajnością dotyczących funkcji lub aktualizacji. Usługa ECS obsługuje również zmiany konfiguracji związane z danymi diagnostycznymi, aby zapewnić zbieranie odpowiednich zdarzeń.
Ograniczenie adresu URL config.edge.skype.com może mieć wpływ na zdolność firmy Microsoft do ograniczania błędów i może mieć wpływ na możliwość testowania funkcji w wersji zapoznawczej.
Aby uzyskać więcej informacji, zobacz Podstawowe usługi pakietu Office — wdrażanie pakietu Office.
Inspekcja łączności sieciowej adresu URL rejestrowania. Usługa AIP musi mieć dostęp do następujących adresów URL w celu obsługi dzienników inspekcji usługi AIP:
https://*.events.data.microsoft.com
https://*.aria.microsoft.com
(Tylko dane urządzenia z systemem Android)
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące raportowania usługi AIP.
Współistnienie usług AD RMS z usługą Azure RMS
Używanie usług AD RMS i Azure RMS obok siebie w tej samej organizacji w celu ochrony zawartości przez tego samego użytkownika w tej samej organizacji jest obsługiwane tylko w usłudze AD RMS dla usługi HYOK (przechowywania własnego klucza) z usługą Azure Information Protection.
Ten scenariusz nie jest obsługiwany podczas migracji. Obsługiwane ścieżki migracji obejmują:
Napiwek
Jeśli wdrożysz usługę Azure Information Protection, a następnie zdecydujesz, że nie chcesz już korzystać z tej usługi w chmurze, zobacz Likwidowanie i dezaktywowanie usługi Azure Information Protection.
W innych scenariuszach, w których obie usługi są aktywne w tej samej organizacji, obie usługi muszą być skonfigurowane tak, aby tylko jeden z nich zezwalał każdemu użytkownikowi na ochronę zawartości. Skonfiguruj takie scenariusze w następujący sposób:
Używanie przekierowań na potrzeby migracji usługi AD RMS do usługi Azure RMS
Jeśli obie usługi muszą być aktywne dla różnych użytkowników w tym samym czasie, użyj konfiguracji po stronie usługi, aby wymusić wyłączność. Użyj kontrolek dołączania usługi Azure RMS w usłudze w chmurze i listy ACL w adresie URL publikowania, aby ustawić tryb tylko do odczytu dla usług AD RMS.
Tagi usługi
Jeśli używasz punktu końcowego platformy Azure i sieciowej grupy zabezpieczeń, upewnij się, że zezwalasz na dostęp do wszystkich portów dla następujących tagów usługi:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Ponadto w tym przypadku usługa Azure Information Protection również zależy od następujących adresów IP i portów:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Port 443 dla ruchu HTTPS
Pamiętaj, aby utworzyć reguły zezwalające na dostęp wychodzący do tych konkretnych adresów IP i za pośrednictwem tego portu.
Obsługiwane serwery lokalne na potrzeby ochrony danych usługi Azure Rights Management
Następujące serwery lokalne są obsługiwane w usłudze Azure Information Protection podczas korzystania z łącznika usługi Microsoft Rights Management.
Ten łącznik działa jako interfejs komunikacji i przekaźniki między serwerami lokalnymi i usługą Azure Rights Management, która jest używana przez usługę Azure Information Protection do ochrony dokumentów i wiadomości e-mail pakietu Office.
Aby użyć tego łącznika, należy skonfigurować synchronizację katalogów między lasami usługi Active Directory i identyfikatorem Entra firmy Microsoft.
Obsługiwane serwery obejmują:
Typ serwera | Obsługiwane wersje |
---|---|
Exchange Server | — Exchange Server 2019 — Exchange Server 2016 — Exchange Server 2013 |
Office SharePoint Server | — Office SharePoint Server 2019 — Office SharePoint Server 2016 — Office SharePoint Server 2013 |
Serwery plików z systemem Windows Server i używają infrastruktury klasyfikacji plików (FCI) | — Windows Server 2016 — Windows Server 2012 R2 — Windows Server 2012 |
Aby uzyskać więcej informacji, zobacz Wdrażanie łącznika usługi Microsoft Rights Management.
Obsługiwane systemy operacyjne dla usługi Azure Rights Management
Następujące systemy operacyjne obsługują usługę Azure Rights Management, która zapewnia ochronę danych dla usługi AIP:
System operacyjny | Obsługiwane wersje |
---|---|
Komputery z systemem Windows | — Windows 10 (x86, x64) — Windows 11 (x86, x64) |
macOS | Minimalna wersja systemu macOS 10.8 (Mountain Lion) |
Telefony i tablety z systemem Android | Minimalna wersja systemu Android 6.0 |
i Telefon i iPad | Minimalna wersja systemu iOS 11.0 |
Telefony z systemem Windows i tablety | Windows 10 Mobile |
Następne kroki
Po przejrzeniu wszystkich wymagań usługi AIP i potwierdzeniu, że system jest zgodny, przejdź do sekcji Przygotowywanie użytkowników i grup dla usługi Azure Information Protection.