Configuration requise pour Azure Information Protection

  • Article

Remarque

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.

Le nouveau client Microsoft Protection des données (sans le complément) est actuellement en préversion et planifié pour la disponibilité générale.

Avant de déployer Azure Information Protection, vérifiez que votre système répond aux conditions préalables suivantes :

Pour déployer Azure Information Protection, vous devez installer le client AIP sur les machines où vous souhaitez utiliser des fonctionnalités AIP. Pour plus d’informations, consultez Installer le client d’étiquetage unifié Azure Information Protection pour les utilisateurs et le côté client d’Azure Information Protection.

Abonnement à Azure Information Protection

Vous devez disposer d’un plan Azure Information Protection pour la classification, l’étiquetage et la protection à l’aide du scanneur ou du client Azure Information Protection. Pour plus d’informations, consultez l’article suivant :

Si votre question n’est pas répondue, contactez votre responsable de compte Microsoft ou Support Microsoft.

Microsoft Entra ID

Pour prendre en charge l’authentification et l’autorisation pour Azure Information Protection, vous devez disposer de Microsoft Entra ID. Pour utiliser des comptes d’utilisateur à partir de votre annuaire local (AD DS), vous devez également configurer l’intégration d’annuaires.

  • L’authentification unique (SSO) est prise en charge pour Azure Protection des données afin que les utilisateurs ne soient pas invités à plusieurs reprises à entrer leurs informations d’identification. Si vous utilisez une autre solution de fournisseur pour la fédération, vérification avec ce fournisseur pour savoir comment le configurer pour Microsoft Entra ID. WS-Trust est une exigence courante pour que ces solutions prennent en charge l’authentification unique.

  • L’authentification multifacteur (MFA) est prise en charge avec Azure Protection des données lorsque vous avez le logiciel client requis et que vous avez correctement configuré l’infrastructure de prise en charge de l’authentification multifacteur.

L’accès conditionnel est pris en charge en préversion pour les documents protégés par Azure Information Protection. Pour plus d'informations, consultez Je vois qu’Azure Information Protection est listé en tant qu’application cloud disponible pour l’accès conditionnel ; comment cela fonctionne-t-il ?

Des conditions préalables supplémentaires sont requises pour des scénarios spécifiques, comme lors de l’utilisation d’une authentification basée sur un certificat ou multifacteur, ou lorsque les valeurs UPN ne correspondent pas aux adresses e-mail utilisateur.

Pour plus d’informations, consultez l’article suivant :

Périphériques clients

Les ordinateurs ou appareils mobiles de l'utilisateur doivent fonctionner avec un système d'exploitation qui prend en charge Azure Information Protection.

Systèmes d'exploitation pris en charge pour les appareils clients

Les clients Azure Information Protection pour Windows sont les systèmes d’exploitation suivants :

  • Windows 11

  • Windows 10 (x86, x64). L’écriture manuscrite n’est pas prise en charge dans la build Windows 10 RS4 et ultérieure.

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 et Windows Server 2012

Pour plus d’informations sur le support dans les versions antérieures de Windows, contactez votre compte Microsoft ou le représentant du support technique.

Remarque

Lorsque les clients Azure Information Protection protègent les données à l’aide du service Azure Rights Management, les données peuvent être consommées par les mêmes appareils qui prennent en charge le service Azure Rights Management.

ARM64

ARM64 n’est pas prise en charge actuellement.

Machines virtuelles

Si vous travaillez avec des machines virtuelles, vérifiez si l'éditeur du logiciel de votre solution de bureau virtuel propose des configurations supplémentaires requises pour l'exécution de l'étiquetage unifié d'Azure Information Protection ou du client d'Azure Information Protection.

Par exemple, pour les solutions Citrix, vous devrez peut-être désactiver les hooks d’interface de programmation d’applications Citrixpour Office, le client d’étiquetage unifié Azure Information Protection ou le client Azure Information Protection.

Ces applications utilisent les fichiers suivants, respectivement : winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Prise en charge du serveur

Pour chacune des versions de serveur répertoriées ci-dessus, les clients Azure Information Protection sont pris en charge pour les services Bureau à distance.

Si vous supprimez des profils utilisateur lorsque vous utilisez les clients Azure Protection des données avec les services Bureau à distance, ne supprimez pas le dossier %Appdata%\Microsoft\Protect.

En outre, Server Core et Nano Server ne sont pas pris en charge.

Exigences supplémentaires par client

Chaque client Azure Information Protection a des exigences supplémentaires. Pour plus d’informations, consultez:

Applications

Les clients Azure Information Protection peuvent étiqueter et protéger les documents et les emails à l’aide de Microsoft Word, Excel, PowerPoint et Outlook à partir de l’une des éditions Office suivantes :

  • Applications Office, pour les versions répertoriées dans le tableau des versions prise en charge pour Microsoft 365 Apps par canal de mise à jour, à partir de Microsoft 365 Apps Entreprise ou Microsoft 365 Business Premium, lorsque l’utilisateur se voit attribuer une licence Azure Rights Management (Azure Information Protection pour Office 365)

  • Microsoft 365 Apps for Enterprise

  • Office Professionnel Plus 2021

  • Office Professionnel Plus 2019

  • Office Professionnel Plus 2016 - Veuillez noter qu'étant donné qu'Office 2016 n'est plus supporté par le grand public, le support d’AIP sera effectué sur la base du meilleur effort et aucune correction ne sera effectuée pour les problèmes découverts dans la version 2016. consultez Microsoft Office 2016

D’autres éditions de Bureau ne peuvent pas protéger les documents et les e-mails à l’aide d’un service Rights Management. Pour ces éditions, Azure Protection des données est pris en charge uniquement pour la classification et les étiquettes qui appliquent la protection ne sont pas affichées pour les utilisateurs.

Les étiquettes sont affichées dans une barre affichée en haut du document Bureau, accessible à partir du bouton Sensibilité dans le client d’étiquetage unifié.

  • Les fichiers PDF de la version 1.4 et inférieure sont automatiquement mis à niveau vers la version 1.5 lorsque le client AIP étiquette le fichier.

Pour plus d'informations, consultez Applications qui prennent en charge la protection des données Azure Rights Management.

Fonctionnalités et capacités d'Office non prises en charge

  • Les clients Azure Protection des données pour Windows ne prennent pas en charge plusieurs versions d’Bureau sur le même ordinateur ou le changement de compte d’utilisateur dans Bureau.

  • La fonctionnalité de publipostage Bureau n’est pas prise en charge avec une fonctionnalité Azure Protection des données.

Pare-feux et infrastructure réseau

Si vous disposez de pare-feu ou d'autres dispositifs réseau similaires configurés pour autoriser des connexions spécifiques, les exigences en matière de connectivité réseau sont énumérées dans cet article d'Office : Microsoft 365 Common et Office Online.

Azure Information Protection a les exigences supplémentaires suivantes :

  • Client d’étiquetage unifié. Pour télécharger des étiquettes et des stratégies d’étiquettes, autorisez l’URL suivante sur HTTPS: *.protection.outlook.com

  • Proxys web. Si vous utilisez un proxy web qui nécessite une authentification, vous devez configurer le proxy pour qu'il utilise l’authentification intégrée de Windows avec les informations d'identification Active Directory de l'utilisateur.

    Pour prendre en charge les fichiers Proxy.pac lors de l’utilisation d’un proxy pour acquérir un jeton, ajoutez la nouvelle clé de Registre suivante :

    • Path (Chemin) : Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Clé : UseDefaultCredentialsInProxy
    • Type : DWORD
    • Valeur : 1

  • Connexions client à service TLS. Ne terminez aucune connexion client à service TLS, par exemple pour effectuer une inspection au niveau du paquet, à l’URL de aadrm.com. Cela annule l’association de certificat que les clients RMS utilisent avec les autorités de certification gérées par Microsoft pour vous aider à sécuriser leur communication avec le service Azure Rights Management.

    Pour déterminer si votre connexion cliente est arrêtée avant d’atteindre le service Azure Rights Management, utilisez les commandes PowerShell suivantes :

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    Le résultat doit indiquer que l’autorité AC émettrice provient d’une autorité de confiance Microsoft, par exemple : CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Si vous voyez un nom d’autorité de certification émettrice qui n’est pas de Microsoft, il est probable que votre connexion client à service sécurisée soit arrêtée et nécessite une reconfiguration sur votre pare-feu.

  • TLS version 1.2 ou ultérieure (client d’étiquetage unifié uniquement). Le client d’étiquetage unifié nécessite une version TLS de la version 1.2 ou ultérieure pour garantir l’utilisation de protocoles sécurisés par chiffrement et s’aligner sur les instructions de sécurité Microsoft.

  • Service de Configuration améliorées (ECS) Microsoft 365. AIP doit avoir accès à l’URL config.edge.skype.com, qui est un service de configuration microsoft 365 amélioré (ECS).

    ECS permet à Microsoft de reconfigurer les installations AIP sans que vous ayez à les redéployer. Elle est utilisée pour contrôler le processus de déploiement progressive de fonctionnalités ou les mises à jour, tandis que l’impact du processus de déploiement est surveillé à partir de données de diagnostic recueillies.

    ECS est également utilisé pour atténuer les problèmes de performances ou la sécurité avec une fonctionnalité ou une mise à jour. ECS prend en charge les modifications de configuration liées aux données de diagnostics pour s’assurer que les événements appropriés soient recueillis.

    La limitation de l’URL config.edge.skype.com peut affecter la capacité de Microsoft à atténuer les erreurs et peut affecter votre capacité à tester les fonctionnalités d'évaluation.

    Pour plus d'informations, consultez Services essentiels pour Office - Déployer Office.

  • Journal d’audit de la connectivité du réseau URL. AIP doit pouvoir accéder aux URL suivantes pour prendre en charge les journaux d’audit AIP :

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Données d’appareil Android uniquement)

    Pour plus d’informations, consultez Prérequis pour les tutoriels AIP.

Coexistence d’AD RMS avec Azure RMS

L’utilisation d’AD RMS et d’Azure RMS côte à côte, dans la même organisation, pour protéger le contenu par le même utilisateur de la même organisation, est uniquement prise en charge dans AD RMS pour HYOK (conservez votre propre clé) protection avec Azure Information Protection.

Ce scénario n'est pas pris en charge pendant la migration. Les chemins de migration pris en charge sont les suivants :

Conseil

Si vous déployez Azure Information Protection, puis décidez que vous ne souhaitez plus utiliser ce service cloud, consultez Désaffectation et désactivation d’Azure Information Protection.

Pour d’autres scénarios de non-migration, où les deux services sont actifs dans la même organisation, les deux services doivent être configurés afin qu’un seul d’entre eux autorise un utilisateur donné à protéger le contenu. Configurez ces scénarios comme suit :

  • Utiliser des redirections pour une migration AD RMS vers Azure RMS

  • Si les deux services doivent être actifs pour différents utilisateurs en même temps, utilisez des configurations côté service pour appliquer l’exclusivité. Utilisez les contrôles d’intégration Azure RMS dans le service cloud et une liste de contrôle d’accès sur l’URL de publication pour définir le mode en lecture seule pour AD RMS.

Étiquettes de service

Si vous utilisez un point de terminaison Azure et un groupe de sécurité réseau, veillez à autoriser l’accès à tous les ports pour les balises de service suivantes :

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

En outre, dans ce cas, le service Azure Information Protection dépend également des adresses IP et du port suivants :

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Port 443, pour le trafic HTTPS

Veillez à créer des règles qui autorisent l’accès sortant à ces adresses IP spécifiques et via ce port.

Serveurs locaux pris en charge pour la protection des données Azure Rights Management

Les serveurs locaux suivants sont pris en charge avec Azure Information Protection lorsque vous utilisez le connecteur Microsoft Rights Management.

Ce connecteur agit en tant qu’interface de communication et relaye entre les serveurs locaux et le service Azure Rights Management, qui est utilisé par Azure Information Protection pour protéger Bureau documents et emails.

Pour utiliser ce connecteur, vous devez configurer la synchronisation d’annuaires entre vos forêts Active Directory et Microsoft Entra ID.

Les serveurs pris en charge sont les suivants :

Type de serveur Versions prises en charge
Serveur Exchange - serveur Exchange 2019
- serveur Exchange 2016
- serveur Exchange 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Serveurs de fichiers exécutant Windows Server et utilisant l'infrastructure de classification des fichiers (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Pour plus d’informations, consultez Déploiement du Connecteur Microsoft Rights Management.

Systèmes d’exploitation pris en charge pour Azure Rights Management

Les systèmes d’exploitation suivants prennent en charge le service Azure Rights Management, qui assure la protection des données pour AIP :

SE Versions prises en charge
Ordinateurs Windows - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS Version minimale de macOS 10.8 (Mountain Lion)
Téléphones et tablettes Android Version minimale d’Android 6.0
iPhone et iPad Version minimale d’iOS 11.0
Téléphones et tablettes Windows Windows 10 Mobile

Pour plus d'informations, consultez Applications qui prennent en charge la protection des données Azure Rights Management.

Étapes suivantes

Une fois que vous avez examiné toutes les exigences AIP et confirmé que votre système est conforme, poursuivez avec la préparation des utilisateurs et des groupes pour Azure Information Protection.