Az Azure Information Protection követelményei
Feljegyzés
Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?
Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.
Az új Microsoft Information Protection-ügyfél (a bővítmény nélkül) jelenleg előzetes verzióban érhető el, és általános rendelkezésre állásra van ütemezve.
Az Azure Information Protection üzembe helyezése előtt győződjön meg arról, hogy a rendszer megfelel a következő előfeltételeknek:
- Előfizetés az Azure Information Protectionhez
- Microsoft Entra ID
- Ügyféleszközök
- Alkalmazások
- Tűzfalak és hálózati infrastruktúra
Az Azure Information Protection üzembe helyezéséhez telepítenie kell az AIP-ügyfelet minden olyan gépen, ahol AIP-funkciókat szeretne használni. További információ: Az Azure Information Protection egységes címkézési ügyfél telepítése a felhasználók számára és az Azure Information Protection ügyféloldala.
Előfizetés az Azure Information Protectionhez
Azure Information Protection-csomaggal kell rendelkeznie a besoroláshoz, címkézéshez és védelemhez az Azure Information Protection scanner vagy -ügyfél használatával. További információkért lásd:
- A Microsoft 365 licencelési útmutatója a biztonság és a megfelelőség szempontjából
- Modern munkaterv összehasonlítása (PDF letöltése)
Ha a kérdésére nem ad választ, forduljon a Microsoft Fiókkezelőjéhez vagy Microsoft ügyfélszolgálata.
Microsoft Entra ID
Az Azure Information Protection hitelesítésének és engedélyezésének támogatásához Microsoft Entra-azonosítóval kell rendelkeznie. A helyszíni címtárból (AD DS) származó felhasználói fiókok használatához konfigurálnia kell a címtár-integrációt is.
Az egyszeri bejelentkezés (SSO) az Azure Information Protection esetében támogatott, így a rendszer nem kéri a felhasználókat a hitelesítő adataik ismételt megadására. Ha egy másik szállítói megoldást használ az összevonáshoz, kérdezze meg a szállítót, hogyan konfigurálhatja azt a Microsoft Entra-azonosítóhoz. A WS-Trust gyakori követelmény ezeknek a megoldásoknak az egyszeri bejelentkezés támogatásához.
A többtényezős hitelesítés (MFA) akkor támogatott az Azure Information Protectionben, ha rendelkezik a szükséges ügyfélszoftverrel, és megfelelően konfigurálta az MFA-t támogató infrastruktúrát.
A feltételes hozzáférés előzetes verzióban támogatott az Azure Information Protection által védett dokumentumok esetében. További információ: Látom, hogy az Azure Information Protection elérhető felhőalkalmazásként jelenik meg a feltételes hozzáféréshez – hogyan működik ez?
Bizonyos esetekben további előfeltételekre van szükség, például tanúsítványalapú vagy többtényezős hitelesítés használatakor, vagy ha az UPN-értékek nem felelnek meg a felhasználói e-mail-címeknek.
További információkért lásd:
- Az Azure Information Protection további Microsoft Entra-követelményei.
- Mi a Microsoft Entra Directory?
- Integrálja helyi Active Directory tartományokat a Microsoft Entra-azonosítóval.
Ügyféleszközök
A felhasználói számítógépeknek vagy mobileszközöknek olyan operációs rendszeren kell futniuk, amely támogatja az Azure Information Protectiont.
- Támogatott operációs rendszerek ügyféleszközökhöz
- ARM64
- Virtuális gépek
- Kiszolgálói támogatás
- További követelmények ügyfélenként
Támogatott operációs rendszerek ügyféleszközökhöz
A WindowsHoz készült Azure Information Protection-ügyfelek a következő operációs rendszerek támogatottak:
Windows 11
Windows 10 (x86, x64). A kézírás nem támogatott a Windows 10 RS4-buildben és újabb verziókban.
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2 és Windows Server 2012
A Windows korábbi verzióinak támogatásával kapcsolatos részletekért forduljon Microsoft-fiókjához vagy támogatási képviselőjéhez.
Feljegyzés
Amikor az Azure Information Protection-ügyfelek az Azure Tartalomvédelmi szolgáltatások szolgáltatással védik az adatokat, az adatokat ugyanazok az eszközök használhatják fel, amelyek támogatják a Azure Tartalomvédelmi szolgáltatások szolgáltatást.
ARM64
Az ARM64 jelenleg nem támogatott.
Virtual machines (Virtuális gépek)
Ha virtuális gépekkel dolgozik, ellenőrizze, hogy a virtuális asztali megoldás szoftverszállítója további konfigurációként van-e szükség az Azure Information Protection egységes címkézésének vagy az Azure Information Protection-ügyfél futtatásához.
A Citrix-megoldások esetében például le kell tiltania a Citrix Application Programming Interface (API) horgokat az Office-hoz, az Azure Information Protection egyesített címkézési ügyfélhez vagy az Azure Information Protection-ügyfélhez.
Ezek az alkalmazások a következő fájlokat használják: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe
Kiszolgálói támogatás
A fent felsorolt kiszolgálóverziók mindegyikéhez az Azure Information Protection-ügyfelek támogatottak a távoli asztali szolgáltatások esetében.
Ha törli a felhasználói profilokat, amikor az Azure Information Protection-ügyfeleket távoli asztali szolgáltatásokkal használja, ne törölje a %Appdata%\Microsoft\Protect mappát.
Emellett a Server Core és a Nano Server nem támogatott.
További követelmények ügyfélenként
Minden Azure Information Protection-ügyfélnek további követelményei vannak. Részletes információ:
Alkalmazások
Az Azure Information Protection-ügyfelek a Microsoft Word, az Excel, a PowerPoint és az Outlook használatával címkézhetik és védhetik a dokumentumokat és az e-maileket az alábbi Office-kiadások bármelyikéből:
Office-app, a Microsoft 365-alkalmazások támogatott verzióinak táblázatában felsorolt verziókhoz frissítési csatornán, Microsoft 365-alkalmazások vállalati verzióból vagy Microsoft 365 Vállalati prémium verzió, ha a felhasználóhoz licenc van hozzárendelve Azure Tartalomvédelmi szolgáltatások (más néven Az Office 365-höz készült Azure Information Protection)
nagyvállalati Microsoft 365-alkalmazások
Office Professional Plus 2021
Office Professional Plus 2019
Office Professional Plus 2016 – Vegye figyelembe, hogy mivel az Office 2016 nem támogatja az általános támogatást, az AIP támogatása a legjobb erőfeszítések alapján történik, és a 2016-os verzióban felfedezett problémákat nem javítjuk ki. lásd: Microsoft Office 2016
Az Office más kiadásai nem tudják megvédeni a dokumentumokat és az e-maileket a Rights Management szolgáltatással. Ezekben a kiadásokban az Azure Information Protection csak besoroláshoz támogatott, és a felhasználók számára nem jelennek meg a védelmet alkalmazó címkék.
A címkék az Office-dokumentum tetején megjelenő sávon jelennek meg, amely az egyesített címkézési ügyfélprogram Bizalmasság gombjáról érhető el.
- Az 1.4-es és újabb verziójú PDF-fájlok automatikusan frissülnek az 1.5-ös verzióra, amikor az AIP-ügyfél címkézi a fájlt.
További információkért lásd az Azure Tartalomvédelmi szolgáltatások adatvédelemmel kapcsolatos alkalmazásokat.
Az Office funkciói és képességei nem támogatottak
A WindowsHoz készült Azure Information Protection-ügyfelek nem támogatják az Office több verzióját ugyanazon a számítógépen, és nem váltanak felhasználói fiókokat az Office-ban.
Az Office körlevélkészítési funkciója nem támogatott az Azure Information Protection egyik funkciójával sem.
Tűzfalak és hálózati infrastruktúra
Ha tűzfalak vagy hasonló beavatkozó hálózati eszközök vannak konfigurálva bizonyos kapcsolatok engedélyezésére, a hálózati kapcsolat követelményeit a következő Office-cikkben találja: Microsoft 365 Common és Office Online.
Az Azure Information Protection a következő további követelményekkel rendelkezik:
Egyesített címkézési ügyfél. Címkék és címkeszabályzatok letöltéséhez engedélyezze a következő URL-címet HTTPS-en keresztül: *.protection.outlook.com
Webes proxyk. Ha hitelesítést igénylő webes proxyt használ, a proxyt úgy kell konfigurálnia, hogy integrált Windows-hitelesítést használjon a felhasználó Active Directory-bejelentkezési hitelesítő adataival.
Ha proxy.pac fájlokat szeretne támogatni, amikor proxyt használ egy jogkivonat beszerzéséhez, adja hozzá a következő új beállításkulcsot:
- Elérési út:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
- Kulcs:
UseDefaultCredentialsInProxy
- Típus:
DWORD
- Érték:
1
- Elérési út:
TLS-ügyfél-szolgáltatás kapcsolatok. Ne fejezz be TLS-ügyfél–szolgáltatás kapcsolatokat, például csomagszintű ellenőrzést a aadrm.com URL-címére. Ha így tesz, azzal megszünteti a tanúsítvány rögzítését, amelyet az RMS-ügyfelek a Microsoft által kezelt hitelesítésszolgáltatókkal együtt az Azure Rights Management szolgáltatással folytatott kommunikációjuk biztosítására használnak.
Annak megállapításához, hogy az ügyfélkapcsolat megszakadt-e, mielőtt eléri a Azure Tartalomvédelmi szolgáltatások szolgáltatást, használja a következő PowerShell-parancsokat:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer
Az eredménynek azt kell mutatnia, hogy a kiállító hitelesítésszolgáltató microsoftos hitelesítésszolgáltatótól származik, például:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
.Ha olyan hitelesítésszolgáltatói nevet lát, amely nem a Microsofttól származik, akkor valószínű, hogy a biztonságos ügyfél-szolgáltatás kapcsolat megszakad, és újrakonfigurálásra van szükség a tűzfalon.
TLS 1.2-es vagy újabb verzió (csak egységes címkézési ügyfél). Az egységes címkézési ügyfélnek 1.2-es vagy újabb TLS-verzióra van szüksége a kriptográfiailag biztonságos protokollok használatának biztosításához és a Microsoft biztonsági irányelveihez való igazodáshoz.
Microsoft 365 Enhanced Configuration Service (ECS). Az AIP-nek hozzá kell férnie a config.edge.skype.com URL-címhez, amely egy Microsoft 365 Enhanced Configuration Service (ECS).
Az ECS lehetővé teszi a Microsoft számára az AIP-telepítések újrakonfigurálását anélkül, hogy újra üzembe kellene helyeznie az AIP-t. A funkciók vagy frissítések fokozatos bevezetésének szabályozására szolgál, míg a bevezetés hatását az összegyűjtött diagnosztikai adatok figyelik.
Az ECS szolgáltatással vagy frissítéssel kapcsolatos biztonsági vagy teljesítményproblémák enyhítésére is használható. Az ECS támogatja a diagnosztikai adatokhoz kapcsolódó konfigurációs módosításokat is, hogy biztosítsa a megfelelő események gyűjtését.
A config.edge.skype.com URL-cím korlátozása befolyásolhatja a Microsoft azon képességét, hogy elhárítsa a hibákat, és hatással lehet az előzetes verziójú funkciók tesztelésére.
További információt az Office alapvető szolgáltatásai – Az Office üzembe helyezése című témakörben talál.
Naplózási URL-hálózati kapcsolat naplózása. Az AIP-naplók támogatásához az AIP-nek hozzá kell férnie a következő URL-címekhez:
https://*.events.data.microsoft.com
https://*.aria.microsoft.com
(Csak Android-eszközadatok)
További információ: Az AIP-jelentés előfeltételei.
Az AD RMS és az Azure RMS együttes használata
Az AD RMS és az Azure RMS egymás mellett, ugyanabban a szervezetben történő védelme érdekében az ugyanabban a szervezetben lévő ugyanazon felhasználó csak az AD RMS-ben támogatja a HYOK (saját kulcs) védelmét az Azure Information Protection használatával.
Ez a forgatókönyv a migrálás során nem támogatott. A támogatott áttelepítési útvonalak a következők:
Tipp.
Ha üzembe helyezi az Azure Information Protectiont, majd úgy dönt, hogy már nem szeretné használni ezt a felhőszolgáltatást, olvassa el az Azure Information Protection leszerelését és inaktiválását ismertető szakaszt.
Más, nem migrálási forgatókönyvek esetében, ahol mindkét szolgáltatás ugyanabban a szervezetben aktív, mindkét szolgáltatást úgy kell konfigurálni, hogy csak az egyik lehetővé teszi bármely felhasználó számára a tartalom védelmét. Konfigurálja az alábbi forgatókönyveket:
Átirányítások használata AD RMS-hez az Azure RMS-migráláshoz
Ha mindkét szolgáltatásnak egyszerre kell aktívnak lennie a különböző felhasználók számára, a kizárólagosság kikényszerítéséhez használjon szolgáltatásoldali konfigurációkat. Az AD RMS írásvédett módjának beállításához használja az Azure RMS előkészítési vezérlőit a felhőszolgáltatásban, a közzétételi URL-címen pedig egy ACL-t .
Szolgáltatáscímkék
Ha Azure-végpontot és NSG-t használ, mindenképpen engedélyezze az összes port elérését a következő szolgáltatáscímkékhez:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Ebben az esetben az Azure Information Protection szolgáltatás a következő IP-címektől és portoktól is függ:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- 443-os port HTTPS-forgalomhoz
Mindenképpen hozzon létre olyan szabályokat, amelyek engedélyezik a kimenő hozzáférést ezekhez az IP-címekhez, és ezen a porton keresztül.
Támogatott helyszíni kiszolgálók Azure Tartalomvédelmi szolgáltatások adatvédelemhez
A Microsoft Rights Management-összekötő használatakor az Azure Information Protection az alábbi helyszíni kiszolgálókat támogatja.
Ez az összekötő kommunikációs felületként működik, és továbbít a helyszíni kiszolgálók és a Azure Tartalomvédelmi szolgáltatások szolgáltatás között, amelyet az Azure Information Protection az Office-dokumentumok és e-mailek védelmére használ.
Az összekötő használatához konfigurálnia kell a címtár-szinkronizálást az Active Directory-erdők és a Microsoft Entra-azonosító között.
A támogatott kiszolgálók a következők:
Server type (Kiszolgáló típusa) | Támogatott verziók |
---|---|
Exchange Server | - Exchange Server 2019 – Exchange Server 2016 – Exchange Server 2013 |
Office SharePoint Server | – Office SharePoint Server 2019 - Office SharePoint Server 2016 – Office SharePoint Server 2013 |
A Windows Servert futtató és a fájlbesorolási infrastruktúrát (FCI) használó fájlkiszolgálók | - Windows Server 2016 – Windows Server 2012 R2 – Windows Server 2012 |
További információ: A Microsoft Rights Management-összekötő üzembe helyezése.
Támogatott operációs rendszerek Azure Tartalomvédelmi szolgáltatások
Az alábbi operációs rendszerek támogatják a Azure Tartalomvédelmi szolgáltatások szolgáltatást, amely az AIP-hez nyújt adatvédelemmel:
OS | Támogatott verziók |
---|---|
Windows rendszerű számítógépek | - Windows 10 (x86, x64) – Windows 11 (x86, x64) |
macOS | A macOS 10.8 (Mountain Lion) minimális verziója |
Android rendszerű telefonok és táblagépek | Az Android 6.0 minimális verziója |
i Telefon és iPad | Az iOS 11.0 minimális verziója |
Windows rendszerű telefonok és táblagépek | Windows 10 Mobile |
További információkért lásd az Azure Tartalomvédelmi szolgáltatások adatvédelemmel kapcsolatos alkalmazásokat.
Következő lépések
Miután áttekintette az összes AIP-követelményt, és meggyőződött arról, hogy a rendszer megfelel, folytassa a felhasználók és csoportok felkészítésével az Azure Information Protectionre.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: