共用方式為


Azure 資訊保護 需求

注意

您要尋找 Microsoft Purview 資訊保護,前身為 Microsoft 資訊保護 (MIP)嗎?

Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

Microsoft Purview 資訊保護 用戶端(不含載入宏)已正式推出

部署 Azure 資訊保護 之前,請確定您的系統符合下列必要條件:

防火牆和網路基礎結構

如果您有設定為允許特定連線的防火牆或類似的介入網路裝置,則網路連線需求會列在此 Office 文章: Microsoft 365 Common 和 Office Online 中。

Azure 資訊保護 具有下列額外需求:

  • Microsoft Purview Informaiton Protection 用戶端。 若要下載標籤和標籤原則,請透過 HTTPS 允許下列 URL:*.protection.outlook.com

  • Web Proxy。 如果您使用需要驗證的 Web Proxy,您必須將 Proxy 設定為搭配使用者的 Active Directory 登入認證使用整合式 Windows 驗證。

    若要在使用 Proxy 取得令牌時支援 Proxy.pac 檔案,請新增下列新的登錄機碼:

    • 路徑Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • 金鑰UseDefaultCredentialsInProxy
    • 類型DWORD
    • 1
  • TLS 用戶端對服務連線。 請勿終止任何 TLS 用戶端對服務連線,例如對 aadrm.com URL 執行封包層級檢查。 這樣做會中斷 RMS 用戶端搭配 Microsoft 管理 CA 使用的憑證釘選,以協助保護其與 Azure Rights Management 服務的通訊。

    若要判斷客戶端連線是否在到達 Azure Rights Management 服務之前終止,請使用下列 PowerShell 命令:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    結果應該會顯示發行 CA 來自 Microsoft CA,例如: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

    如果您看到不是來自 Microsoft 的發行 CA 名稱,可能是您的安全用戶端對服務連線正在終止,且需要在防火牆上重新設定。

  • TLS 1.2 版或更高版本 (僅限統一卷標用戶端)。 統一卷標用戶端需要 TLS 1.2 版或更高版本,以確保使用密碼編譯安全通訊協定,並配合 Microsoft 安全性指導方針。

  • Microsoft 365 增強組態服務 (ECS)。 AIP 必須能夠存取 config.edge.skype.com URL,這是 Microsoft 365 增強式設定服務 (ECS)。

    ECS 可讓您重新設定 AIP 安裝,而不需要重新部署 AIP。 它用來控制功能或更新的漸進式推出,而推出的影響會從收集的診斷數據進行監視。

    ECS 也可用來降低功能或更新的安全性或效能問題。 ECS 也支援與診斷數據相關的設定變更,以協助確保收集適當的事件。

    限制 config.edge.skype.com URL 可能會影響 Microsoft 減輕錯誤的能力,並可能會影響測試預覽功能的能力。

    如需詳細資訊,請參閱 Office 的基本服務 - 部署 Office

  • 稽核記錄 URL 網路連線能力。 AIP 必須能夠存取下列 URL,才能支援 AIP 稽核記錄:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (僅限 Android 裝置資料)

    如需詳細資訊,請參閱 AIP 報告的必要條件。

AD RMS 與 Azure RMS 共存

在相同組織中,使用 AD RMS 和 Azure RMS 並存保護相同組織中的相同用戶的內容,只有在 AD RMS for HYOK(保留您自己的密鑰)保護與 Azure 資訊保護 中才支援。

移轉期間不支援此案例。 支援的移轉路徑包括:

提示

如果您部署 Azure 資訊保護,然後決定不再使用此雲端服務,請參閱解除委任和停用 Azure 資訊保護

針對其他非移轉案例,這兩個服務都在相同的組織中作用中,必須設定這兩個服務,讓其中只有一個可讓任何指定使用者保護內容。 設定這類案例,如下所示:

  • 將 AD RMS 重新導向至 Azure RMS 移轉

  • 如果這兩個服務必須同時對不同的使用者使用中,請使用服務端設定來強制執行排他性。 使用雲端服務中的 Azure RMS 上線控制件,以及發布 URL 上的 ACL 來設定 AD RMS 的唯讀 模式。

服務標籤

如果您使用 Azure 端點和 NSG,請務必允許存取下列服務標籤的所有埠:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

此外,在此情況下,Azure 資訊保護 服務也取決於下列IP位址和埠:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • HTTPS 流量的埠 443

請務必建立規則,以允許輸出存取這些特定IP位址,以及透過此埠。

支援 Azure Rights Management 資料保護的內部部署伺服器

當您使用 Microsoft Rights Management 連接器時,Azure 資訊保護 支援下列內部部署伺服器。

此連接器可作為通訊介面,以及內部部署伺服器與 Azure Rights Management 服務之間的轉送,Azure 資訊保護 會用來保護 Office 檔和電子郵件。

若要使用此連接器,您必須設定 Active Directory 樹系與 Microsoft Entra 識別符之間的目錄同步處理。

支援的伺服器包括:

伺服器類型 支援的版本
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
執行 Windows Server 並使用檔案分類基礎結構的檔案伺服器 (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

如需詳細資訊,請參閱 部署 Microsoft Rights Management 連接器

Azure Rights Management 支援的作業系統

下列操作系統支援 Azure Rights Management 服務,其提供 AIP 的數據保護:

OS 支援的版本
Windows 電腦 - Windows 10 (x86,x64)
- Windows 11 (x86,x64)
macOS macOS 10.8 的最低版本 (山獅)
Android 手機和平板電腦 Android 6.0 的最低版本
i 電話 和 iPad iOS 11.0 的最低版本
Windows 手機和平板電腦 Windows 10 Mobile

下一步

檢閱所有 AIP 需求並確認系統符合之後,請繼續進行準備 Azure 資訊保護 的使用者和群組。