Freigeben über


Anforderungen für Azure Information Protection

Hinweis

Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?

Das Azure Information Protection-Add-In wird eingestellt und durch Bezeichnungen ersetzt, die in Ihre Microsoft 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.

Der Microsoft Purview Information Protection-Client (ohne das Add-In) ist allgemein verfügbar.

Vor der Bereitstellung von Azure Information Protection müssen Sie sicherstellen, dass Ihr System die folgenden Voraussetzungen erfüllt:

Firewalls und Netzwerkinfrastruktur

Wenn Sie über Firewalls oder ähnliche zwischengeschaltete Netzwerkgeräte verfügen, die so konfiguriert sind, dass sie bestimmte Verbindungen zulassen, sind die Anforderungen an die Netzwerkkonnektivität in diesem Office-Artikel aufgeführt: Microsoft 365 Common und Office Online.

Für Azure Information Protection gelten die folgenden weiteren Voraussetzungen:

  • Microsoft Purview Informaiton Protection-Client. Zum Herunterladen von Bezeichnungen und Bezeichnungsrichtlinien müssen Sie die folgende URL über HTTPS zulassen: *.protection.outlook.com

  • Webproxys Wenn Sie einen Webproxy verwenden, für den eine Authentifizierung erforderlich ist, müssen Sie den Proxy für die Verwendung der integrierten Windows-Authentifizierung mit den Active Directory-Anmeldedaten des Benutzers konfigurieren.

    Zur Unterstützung von Proxy.pac-Dateien bei Verwendung eines Proxys zum Abrufen eines Tokens müssen Sie den folgenden neuen Registrierungsschlüssel hinzufügen:

    • Pfad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Schlüssel: UseDefaultCredentialsInProxy
    • Typ:DWORD
    • Wert: 1
  • Verbindungen zwischen TLS-Client und Dienst. Beenden Sie keine TLS-Client-zu-Service-Verbindungen, z. B. zum Durchführen einer Überprüfung auf Paketebene, an die aadrm.com-URL . Ansonsten wird die Anheftung von Zertifikaten beendet, die von RMS-Clients für von Microsoft verwaltete Zertifizierungsstellen verwendet wird, um die Kommunikation mit dem Azure Rights Management-Dienst zu schützen.

    Mit den folgenden PowerShell-Befehlen können Sie feststellen, ob die Clientverbindung beendet wird, bevor sie den Azure Rights Management-Dienst erreicht:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    Das Ergebnis sollte zeigen, dass die ausstellende CA von einer Microsoft-CA stammt, z. B.: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Wenn ein ausstellende Zertifizierungsstellenname angezeigt wird, der nicht von Microsoft stammt, wird ihre sichere Client-zu-Service-Verbindung wahrscheinlich beendet und benötigt eine Neukonfiguration in Ihrer Firewall.

  • TLS Version 1.2 oder höher (nur Unified Labeling-Client). Der Unified Labeling-Client erfordert eine TLS-Version von 1.2 oder höher, um sicherzustellen, dass kryptografisch sichere Protokolle verwendet werden und den Sicherheitsrichtlinien von Microsoft entsprechen.

  • Microsoft 365 Enhanced Configuration Service (ECS). AIP muss Zugriff auf die URL config.edge.skype.com haben, bei der es sich um einen erweiterten Microsoft 365 Enhanced Configuration Service (ECS) handelt.

    ECS ermöglicht Microsoft das Neukonfigurieren der AIP-Installationen, ohne dass AIP erneut bereitgestellt werden muss. Er dient zum Steuern des schrittweisen Rollouts von Features und Updates. Dabei wird die Auswirkung des Rollouts anhand der erfassten Diagnosedaten überwacht.

    ESC dient auch dazu, Sicherheits- oder Leistungsprobleme mit einem Feature oder Update einzugrenzen. ECS unterstützt auch Konfigurationsänderungen im Zusammenhang mit Diagnosedaten, um sicherzustellen, dass die entsprechenden Ereignisse gesammelt werden.

    Wenn die URL config.edge.skype.com eingeschränkt wird, hat das gegebenenfalls Auswirkungen auf die Fähigkeit von Microsoft, Fehler zu beheben, und auf Ihre Möglichkeit zum Testen von Previewfunktionen.

    Weitere Informationen finden Sie unter Wesentliche Dienste für Office – Bereitstellung von Office.

  • Protokollierung der URL-Netzwerkkonnektivität prüfen. AIP muss auf die folgenden URLs zugreifen können, damit AIP-Überwachungsprotokolle unterstützt werden:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (nur Daten von Android-Geräten)

    Weitere Informationen finden Sie unter Voraussetzungen für AIP-Berichte.

Koexistenz von AD RMS mit Azure RMS

Der gleichzeitige Einsatz von AD RMS und Azure RMS in derselben Organisation zum Schutz von Inhalten durch denselben Benutzer in derselben Organisation wird in AD RMS nur für den HYOK-Schutz (Schutz mit eigenem Schlüssel) mit Azure Information Protection unterstützt.

Dieses Szenario wird nicht während der Migration unterstützt. Unterstützte Migrationspfade:

Tipp

Wenn Sie Azure Information Protection bereitstellen und später diesen Clouddienst nicht mehr verwenden möchten, lesen Sie Außerbetriebsetzen und Deaktivieren von Azure Information Protection.

Bei anderen Szenarien ohne Migration, in denen beide Dienste in derselben Organisation aktiv sind, müssen beide Dienste so konfiguriert werden, dass nur einer davon einem bestimmten Benutzer den Schutz von Inhalten erlaubt. Solche Szenarien sind folgendermaßen zu konfigurieren:

  • Verwenden von Umleitungen für eine Migration von AD RMS zu Azure RMS

  • Wenn beide Dienste für unterschiedliche Benutzer gleichzeitig aktiv sein müssen, müssen Sie mit dienstseitigen Konfigurationen die Exklusivität durchsetzen. Verwenden Sie die Azure RMS-Onboarding-Steuerelemente im Clouddienst und eine ACL auf der Veröffentlichungs-URL, um den Schreibschutz-Modus für AD RMS festzulegen.

Diensttags

Wenn Sie einen Azure-Endpunkt und einen NSG verwenden, müssen Sie den Zugriff auf alle Ports für die folgenden Diensttags zulassen:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Darüber hinaus hängt der Azure Information Protection-Dienst in diesem Fall auch von den folgenden IP-Adressen und -Ports ab:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Port 443 für HTTPS-Datenverkehr

Sie müssen unbedingt Regeln erstellen, die ausgehenden Zugriff auf diese konkreten IP-Adressen und über diesen Port zulassen.

Unterstützte lokale Server für Azure Rights Management-Datenschutz

Die folgenden lokalen Server werden mit Azure Information Protection unterstützt, wenn Sie den Microsoft Rights Management-Connector verwenden.

Dieser Connector dient als Kommunikationsschnittstelle und vermittelt zwischen lokalen Servern und dem Azure Rights Management-Dienst, der von Azure Information Protection zum Schutz von Office-Dokumenten und E-Mails verwendet wird.

Zum Verwenden dieses Connectors müssen Sie die Verzeichnissynchronisierung zwischen Ihren Active Directory-Gesamtstrukturen und Microsoft Entra ID konfigurieren.

Folgende Server werden unterstützt:

Servertyp Unterstützte Versionen
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Dateiserver, die unter Windows Server ausgeführt werden und die Dateiklassifizierungsinfrastruktur (FCI) verwenden Windows Server 2016,
Windows Server 2012 R2,
Windows Server 2012

Weitere Informationen finden Sie unter Bereitstellung des Microsoft Rights Management-Connectors.

Unterstützte Betriebssysteme für Azure Rights Management

Die folgenden Betriebssysteme unterstützen den Azure Rights Management-Dienst, der Datenschutz für AIP bietet:

Betriebssystem Unterstützte Versionen
Windows-Computer – Windows 10 (x86, x64)
– Windows 11 (x86, x64)
macOS Mindestversion von macOS 10.8 (Mountain Lion)
Android-Smartphones und -Tablets Mindestversion von Android 6.0
iPhone und iPad Mindestversion von iOS 11.0
Windows-Smartphones und -Tablets Windows 10 Mobile

Nächste Schritte

Wenn Sie alle AIP-Anforderungen durchgesehen und bestätigt haben, dass sie von Ihrem System erfüllt werden, können Sie fortfahren mit Vorbereiten von Benutzern und Gruppen für Azure Information Protection.