Požadavky služby Azure Information Protection

  • Článek

Poznámka:

Hledáte Microsoft Purview Information Protection, dříve Microsoft Information Protection (MIP)?

Doplněk Azure Information Protection se vyřadí a nahradí popisky, které jsou integrované v aplikacích a službách Microsoftu 365. Přečtěte si další informace o stavu podpory dalších komponent služby Azure Information Protection.

Nový klient Microsoft Information Protection (bez doplňku) je aktuálně ve verzi Preview a je naplánovaný pro obecnou dostupnost.

Před nasazením služby Azure Information Protection se ujistěte, že váš systém splňuje následující požadavky:

Pokud chcete nasadit Službu Azure Information Protection, musíte mít nainstalovaného klienta AIP na všech počítačích, na kterých chcete používat funkce AIP. Další informace najdete v tématu Instalace klienta sjednoceného popisování služby Azure Information Protection pro uživatele a na straně klienta služby Azure Information Protection.

Předplatné služby Azure Information Protection

Musíte mít plán služby Azure Information Protection pro klasifikaci, označování a ochranu pomocí skeneru nebo klienta služby Azure Information Protection. Další informace naleznete v tématu:

Pokud na vaši otázku neodpovíte, obraťte se na svého správce účtů Microsoft nebo podpora Microsoftu.

Microsoft Entra ID

Pokud chcete podporovat ověřování a autorizaci pro Azure Information Protection, musíte mít ID Microsoft Entra. Pokud chcete používat uživatelské účty z místního adresáře (AD DS), musíte také nakonfigurovat integraci adresáře.

  • Azure Information Protection podporuje jednotné přihlašování, aby se uživatelům opakovaně nezověřovala výzva k zadání přihlašovacích údajů. Pokud pro federaci používáte jiné řešení dodavatele, zjistěte u daného dodavatele, jak ho nakonfigurovat pro ID Microsoft Entra. Ws-Trust je běžným požadavkem pro tato řešení, aby podporovala jednotné přihlašování.

  • Služba Azure Information Protection podporuje vícefaktorové ověřování (MFA), pokud máte požadovaný klientský software a správně nakonfigurovali infrastrukturu podporující vícefaktorové ověřování.

Podmíněný přístup se podporuje ve verzi Preview pro dokumenty chráněné službou Azure Information Protection. Další informace najdete tady: Služba Azure Information Protection je uvedená jako dostupná cloudová aplikace pro podmíněný přístup – jak to funguje?

Pro konkrétní scénáře, například při použití ověřování založeného na certifikátech nebo vícefaktorovém ověřování, nebo v případě, že hodnoty hlavního názvu uživatele (UPN) neodpovídají e-mailovým adresám uživatelů, jsou vyžadovány další požadavky.

Další informace naleznete v tématu:

Klientská zařízení

Uživatelské počítače nebo mobilní zařízení musí běžet v operačním systému, který podporuje Azure Information Protection.

Podporované operační systémy pro klientská zařízení

Klienti služby Azure Information Protection pro Windows jsou podporováni následujícími operačními systémy:

  • Windows 11

  • Windows 10 (x86, x64). Rukopis se nepodporuje v buildu Windows 10 RS4 a novějším.

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 a Windows Server 2012

Podrobnosti o podpoře ve starších verzích Windows získáte od svého účtu Microsoft nebo zástupce podpory.

Poznámka:

Když klienti Azure Information Protection chrání data pomocí služby Azure Rights Management, můžou tato data využívat stejná zařízení , která podporují službu Azure Rights Management.

ARM64

ARM64 se v současné době nepodporuje .

Virtuální počítače

Pokud pracujete s virtuálními počítači, zkontrolujte, jestli dodavatel softwaru pro vaše řešení virtuálních klientských počítačů vyžaduje další konfigurace potřebné pro spuštění sjednoceného popisování služby Azure Information Protection nebo klienta služby Azure Information Protection.

Například pro řešení Citrix možná budete muset zakázat háky rozhraní API (Citrix Application Programming Interface) pro Office, klienta sjednoceného popisování služby Azure Information Protection nebo klienta služby Azure Information Protection.

Tyto aplikace používají následující soubory: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Podpora serveru

Pro každou z výše uvedených verzí serveru jsou klienti služby Azure Information Protection podporováni pro službu Vzdálená plocha.

Pokud odstraníte profily uživatelů při používání klientů služby Azure Information Protection se službou Vzdálená plocha, neodstraňujte složku %Appdata%\Microsoft\Protect .

Jádro serveru a Nano Server se navíc nepodporují.

Další požadavky na klienta

Každý klient služby Azure Information Protection má další požadavky. Podrobnosti najdete tady:

Aplikace

Klienti Služby Azure Information Protection můžou dokumenty a e-maily označovat a chránit pomocí Microsoft Wordu, Excelu, PowerPointu a Outlooku z některé z následujících edicí Office:

  • aplikace Office pro verze uvedené v tabulce podporovaných verzí pro Microsoft 365 Apps podle aktualizačního kanálu, z Microsoft 365 Apps pro firmy nebo Microsoft 365 Business Premium, když je uživateli přiřazena licence pro Azure Rights Management (označovaná také jako Azure Information Protection pro Office 365).

  • Microsoft 365 Apps for Enterprise

  • Office pro profesionály Plus 2021

  • Office pro profesionály Plus 2019

  • Office pro profesionály Plus 2016 – Upozorňujeme, že vzhledem k tomu, že Office 2016 je mimo hlavní fázi podpory, podpora AIP se provede na základě maximálního úsilí a nebudou provedeny žádné opravy problémů zjištěných ve verzi 2016. viz systém Microsoft Office 2016

Jiné edice Office nemůžou chránit dokumenty a e-maily pomocí služby Rights Management. V těchto edicích je služba Azure Information Protection podporovaná jenom pro klasifikaci a popisky, které používají ochranu, se uživatelům nezobrazují.

Popisky se zobrazují na panelu zobrazeném v horní části dokumentu Office, které je přístupné z tlačítka Citlivost v klientovi sjednoceného popisování.

  • Soubory PDF, které jsou verze 1.4 a nižší, se automaticky upgradují na verzi 1.5, když klient AIP označí soubor.

Další informace najdete v tématu Aplikace, které podporují ochranu dat azure Rights Management.

Funkce a možnosti Office se nepodporují.

  • Klienti Azure Information Protection pro Windows nepodporují více verzí Office na stejném počítači ani přepínání uživatelských účtů v Office.

  • Funkce hromadné korespondence Office není u žádné funkce Azure Information Protection podporovaná.

Brány firewall a síťová infrastruktura

Pokud máte brány firewall nebo podobná síťová zařízení nakonfigurovaná tak, aby umožňovala konkrétní připojení, jsou požadavky na síťové připojení uvedené v tomto článku Office: Microsoft 365 Common a Office Online.

Azure Information Protection má následující další požadavky:

  • Klient sjednoceného popisování Pokud chcete stáhnout popisky a zásady popisků, povolte následující adresu URL přes HTTPS: *.protection.outlook.com

  • Webové proxy servery. Pokud používáte webový proxy server, který vyžaduje ověření, musíte proxy server nakonfigurovat tak, aby používal integrované ověřování systému Windows s přihlašovacími údaji služby Active Directory uživatele.

    Pokud chcete podporovat soubory Proxy.pac při použití proxy serveru k získání tokenu, přidejte následující nový klíč registru:

    • Cesta: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Klíč: UseDefaultCredentialsInProxy
    • Typ: DWORD
    • Hodnota: 1

  • Připojení typu klient-služba TLS. Neukončujte žádná připojení typu klient-služba TLS, například k provedení kontroly na úrovni paketů, na adresu URL aadrm.com . Pokud to uděláte, přeruší se připnutí certifikátu, které klienti RMS používají společně s certifikačními autoritami spravovanými Microsoftem k lepšímu zabezpečení komunikace se službou Azure Rights Management.

    Pokud chcete zjistit, jestli se vaše připojení klienta ukončí před dosažením služby Azure Rights Management, použijte následující příkazy PowerShellu:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    Výsledek by měl ukázat, že vydávající certifikační autorita pochází z certifikační autority Microsoftu, například: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Pokud se zobrazí název vydávající certifikační autority, který není od Microsoftu, je pravděpodobné, že se vaše zabezpečené připojení typu klient-služba ukončuje a vyžaduje rekonfiguraci brány firewall.

  • Tls verze 1.2 nebo vyšší (jenom klient sjednoceného popisování). Klient sjednoceného popisování vyžaduje protokol TLS verze 1.2 nebo vyšší, aby se zajistilo použití kryptograficky zabezpečených protokolů a v souladu s pokyny microsoftu pro zabezpečení.

  • Microsoft 365 Enhanced Configuration Service (ECS) AIP musí mít přístup k adrese URL config.edge.skype.com , což je microsoft 365 Enhanced Configuration Service (ECS).

    ECS poskytuje Microsoftu možnost překonfigurovat instalace AIP bez nutnosti opětovného nasazení AIP. Používá se k řízení postupného zavádění funkcí nebo aktualizací, zatímco dopad zavedení se monitoruje z shromažďovaných diagnostických dat.

    ECS se také používá ke zmírnění problémů se zabezpečením nebo výkonem funkce nebo aktualizace. ECS také podporuje změny konfigurace související s diagnostickými daty, které pomáhají zajistit shromažďování příslušných událostí.

    Omezení adresy URL config.edge.skype.com může ovlivnit schopnost Microsoftu zmírnit chyby a ovlivnit vaši schopnost testovat funkce ve verzi Preview.

    Další informace najdete v tématu Základní služby pro Office – Nasazení Office.

  • Auditovat síťové připojení adresy URL protokolování Aby bylo možné podporovat protokoly auditu AIP, musí mít AIP přístup k následujícím adresám URL:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Jenom data zařízení s Androidem)

    Další informace najdete v tématu Požadavky pro vytváření sestav AIP.

Koexistence služby AD RMS se službou Azure RMS

Použití AD RMS a Azure RMS vedle sebe ve stejné organizaci k ochraně obsahu stejného uživatele ve stejné organizaci je podporováno pouze v AD RMS pro HYOK (držení vlastního klíče) pomocí služby Azure Information Protection.

Tento scénář není během migrace podporován. Mezi podporované cesty migrace patří:

Tip

Pokud nasadíte Službu Azure Information Protection a pak se rozhodnete, že už tuto cloudovou službu nechcete používat, přečtěte si téma Vyřazení z provozu a deaktivace služby Azure Information Protection.

V jiných scénářích bez migrace, kdy jsou obě služby aktivní ve stejné organizaci, musí být obě služby nakonfigurované tak, aby každý z nich umožnil každému danému uživateli chránit obsah. Tyto scénáře nakonfigurujte následujícím způsobem:

  • Použití přesměrování pro migraci AD RMS na Azure RMS

  • Pokud musí být obě služby aktivní pro různé uživatele najednou, použijte konfigurace na straně služby k vynucení exkluzivity. Pomocí ovládacích prvků onboardingu Azure RMS v cloudové službě a seznamu ACL na adrese URL publikování nastavte režim jen pro čtení pro SLUŽBU AD RMS.

Značky služeb

Pokud používáte koncový bod Azure a skupinu zabezpečení sítě, nezapomeňte povolit přístup ke všem portům pro následující značky služeb:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

V tomto případě také služba Azure Information Protection závisí na následujících IP adresách a portu:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Port 443 pro provoz HTTPS

Nezapomeňte vytvořit pravidla, která umožňují odchozí přístup k těmto konkrétním IP adresám a přes tento port.

Podporované místní servery pro ochranu dat Azure Rights Management

Azure Information Protection podporuje následující místní servery, když používáte konektor Microsoft Rights Management.

Tento konektor funguje jako komunikační rozhraní a předává se mezi místními servery a službou Azure Rights Management, kterou azure Information Protection používá k ochraně dokumentů a e-mailů Office.

Pokud chcete použít tento konektor, musíte nakonfigurovat synchronizaci adresářů mezi doménovými strukturami služby Active Directory a ID Microsoft Entra.

Mezi podporované servery patří:

Typ serveru Podporované verze
Exchange Server – Exchange Server 2019
– Exchange Server 2016
– Exchange Server 2013
Office SharePoint Server – Office SharePoint Server 2019
– Office SharePoint Server 2016
– Office SharePoint Server 2013
Souborové servery se systémem Windows Server a používají infrastrukturu klasifikace souborů (FCI) – Windows Server 2016
– Windows Server 2012 R2
– Windows Server 2012

Další informace najdete v tématu Nasazení konektoru Microsoft Rights Management.

Podporované operační systémy pro Azure Rights Management

Následující operační systémy podporují službu Azure Rights Management, která poskytuje ochranu dat pro AIP:

Operační systém Podporované verze
Počítače s Windows – Windows 10 (x86, x64)
– Windows 11 (x86, x64)
macOS Minimální verze macOS 10.8 (Mountain Lion)
Telefony a tablety s Androidem Minimální verze Androidu 6.0
i Telefon a iPad Minimální verze iOS 11.0
Telefony a tablety s Windows Windows 10 Mobile

Další informace najdete v tématu Aplikace, které podporují ochranu dat azure Rights Management.

Další kroky

Jakmile zkontrolujete všechny požadavky na AIP a potvrdíte, že váš systém vyhovuje, pokračujte v přípravě uživatelů a skupin pro Azure Information Protection.