Partager via


Configuration requise pour Azure Information Protection

Remarque

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.

Le client Protection des données Microsoft Purview (sans complément) est généralement disponible.

Avant de déployer Azure Information Protection, vérifiez que votre système répond aux conditions préalables suivantes :

Pare-feux et infrastructure réseau

Si vous disposez de pare-feu ou d'autres dispositifs réseau similaires configurés pour autoriser des connexions spécifiques, les exigences en matière de connectivité réseau sont énumérées dans cet article d'Office : Microsoft 365 Common et Office Online.

Azure Information Protection a les exigences supplémentaires suivantes :

  • Client Microsoft Purview Informaiton Protection. Pour télécharger des étiquettes et des stratégies d’étiquettes, autorisez l’URL suivante sur HTTPS: *.protection.outlook.com

  • Proxys web. Si vous utilisez un proxy web qui nécessite une authentification, vous devez configurer le proxy pour qu'il utilise l’authentification intégrée de Windows avec les informations d'identification Active Directory de l'utilisateur.

    Pour prendre en charge les fichiers Proxy.pac lors de l’utilisation d’un proxy pour acquérir un jeton, ajoutez la nouvelle clé de Registre suivante :

    • Path (Chemin) : Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Clé : UseDefaultCredentialsInProxy
    • Type : DWORD
    • Valeur : 1
  • Connexions client à service TLS. Ne terminez aucune connexion client à service TLS, par exemple pour effectuer une inspection au niveau du paquet, à l’URL de aadrm.com. Cela annule l’association de certificat que les clients RMS utilisent avec les autorités de certification gérées par Microsoft pour vous aider à sécuriser leur communication avec le service Azure Rights Management.

    Pour déterminer si votre connexion cliente est arrêtée avant d’atteindre le service Azure Rights Management, utilisez les commandes PowerShell suivantes :

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    Le résultat doit indiquer que l’autorité AC émettrice provient d’une autorité de confiance Microsoft, par exemple : CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Si vous voyez un nom d’autorité de certification émettrice qui n’est pas de Microsoft, il est probable que votre connexion client à service sécurisée soit arrêtée et nécessite une reconfiguration sur votre pare-feu.

  • TLS version 1.2 ou ultérieure (client d’étiquetage unifié uniquement). Le client d’étiquetage unifié nécessite une version TLS de la version 1.2 ou ultérieure pour garantir l’utilisation de protocoles sécurisés par chiffrement et s’aligner sur les instructions de sécurité Microsoft.

  • Service de Configuration améliorées (ECS) Microsoft 365. AIP doit avoir accès à l’URL config.edge.skype.com, qui est un service de configuration microsoft 365 amélioré (ECS).

    ECS permet à Microsoft de reconfigurer les installations AIP sans que vous ayez à les redéployer. Elle est utilisée pour contrôler le processus de déploiement progressive de fonctionnalités ou les mises à jour, tandis que l’impact du processus de déploiement est surveillé à partir de données de diagnostic recueillies.

    ECS est également utilisé pour atténuer les problèmes de performances ou la sécurité avec une fonctionnalité ou une mise à jour. ECS prend en charge les modifications de configuration liées aux données de diagnostics pour s’assurer que les événements appropriés soient recueillis.

    La limitation de l’URL config.edge.skype.com peut affecter la capacité de Microsoft à atténuer les erreurs et peut affecter votre capacité à tester les fonctionnalités d'évaluation.

    Pour plus d'informations, consultez Services essentiels pour Office - Déployer Office.

  • Journal d’audit de la connectivité du réseau URL. AIP doit pouvoir accéder aux URL suivantes pour prendre en charge les journaux d’audit AIP :

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Données d’appareil Android uniquement)

    Pour plus d’informations, consultez Prérequis pour les tutoriels AIP.

Coexistence d’AD RMS avec Azure RMS

L’utilisation d’AD RMS et d’Azure RMS côte à côte, dans la même organisation, pour protéger le contenu par le même utilisateur de la même organisation, est uniquement prise en charge dans AD RMS pour HYOK (conservez votre propre clé) protection avec Azure Information Protection.

Ce scénario n'est pas pris en charge pendant la migration. Les chemins de migration pris en charge sont les suivants :

Conseil

Si vous déployez Azure Information Protection, puis décidez que vous ne souhaitez plus utiliser ce service cloud, consultez Désaffectation et désactivation d’Azure Information Protection.

Pour d’autres scénarios de non-migration, où les deux services sont actifs dans la même organisation, les deux services doivent être configurés afin qu’un seul d’entre eux autorise un utilisateur donné à protéger le contenu. Configurez ces scénarios comme suit :

  • Utiliser des redirections pour une migration AD RMS vers Azure RMS

  • Si les deux services doivent être actifs pour différents utilisateurs en même temps, utilisez des configurations côté service pour appliquer l’exclusivité. Utilisez les contrôles d’intégration Azure RMS dans le service cloud et une liste de contrôle d’accès sur l’URL de publication pour définir le mode en lecture seule pour AD RMS.

Étiquettes de service

Si vous utilisez un point de terminaison Azure et un groupe de sécurité réseau, veillez à autoriser l’accès à tous les ports pour les balises de service suivantes :

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

En outre, dans ce cas, le service Azure Information Protection dépend également des adresses IP et du port suivants :

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Port 443, pour le trafic HTTPS

Veillez à créer des règles qui autorisent l’accès sortant à ces adresses IP spécifiques et via ce port.

Serveurs locaux pris en charge pour la protection des données Azure Rights Management

Les serveurs locaux suivants sont pris en charge avec Azure Information Protection lorsque vous utilisez le connecteur Microsoft Rights Management.

Ce connecteur agit en tant qu’interface de communication et relaye entre les serveurs locaux et le service Azure Rights Management, qui est utilisé par Azure Information Protection pour protéger Bureau documents et emails.

Pour utiliser ce connecteur, vous devez configurer la synchronisation d’annuaires entre vos forêts Active Directory et Microsoft Entra ID.

Les serveurs pris en charge sont les suivants :

Type de serveur Versions prises en charge
Serveur Exchange - serveur Exchange 2019
- serveur Exchange 2016
- serveur Exchange 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Serveurs de fichiers exécutant Windows Server et utilisant l'infrastructure de classification des fichiers (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Pour plus d’informations, consultez Déploiement du Connecteur Microsoft Rights Management.

Systèmes d’exploitation pris en charge pour Azure Rights Management

Les systèmes d’exploitation suivants prennent en charge le service Azure Rights Management, qui assure la protection des données pour AIP :

SE Versions prises en charge
Ordinateurs Windows - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS Version minimale de macOS 10.8 (Mountain Lion)
Téléphones et tablettes Android Version minimale d’Android 6.0
iPhone et iPad Version minimale d’iOS 11.0
Téléphones et tablettes Windows Windows 10 Mobile

Étapes suivantes

Une fois que vous avez examiné toutes les exigences AIP et confirmé que votre système est conforme, poursuivez avec la préparation des utilisateurs et des groupes pour Azure Information Protection.