Az Azure Information Protection követelményei
Feljegyzés
Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?
Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.
A Microsoft Purview információvédelem ügyfél (a bővítmény nélkül) általánosan elérhető.
Az Azure Information Protection üzembe helyezése előtt győződjön meg arról, hogy a rendszer megfelel a következő előfeltételeknek:
Tűzfalak és hálózati infrastruktúra
Ha tűzfalak vagy hasonló beavatkozó hálózati eszközök vannak konfigurálva bizonyos kapcsolatok engedélyezésére, a hálózati kapcsolat követelményeit a következő Office-cikkben találja: Microsoft 365 Common és Office Online.
Az Azure Information Protection a következő további követelményekkel rendelkezik:
Microsoft Purview Informaiton Protection-ügyfél. Címkék és címkeszabályzatok letöltéséhez engedélyezze a következő URL-címet HTTPS-en keresztül: *.protection.outlook.com
Webes proxyk. Ha hitelesítést igénylő webes proxyt használ, a proxyt úgy kell konfigurálnia, hogy integrált Windows-hitelesítést használjon a felhasználó Active Directory-bejelentkezési hitelesítő adataival.
Ha proxy.pac fájlokat szeretne támogatni, amikor proxyt használ egy jogkivonat beszerzéséhez, adja hozzá a következő új beállításkulcsot:
- Elérési út:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ - Kulcs:
UseDefaultCredentialsInProxy - Típus:
DWORD - Érték:
1
- Elérési út:
TLS-ügyfél-szolgáltatás kapcsolatok. Ne fejezz be TLS-ügyfél–szolgáltatás kapcsolatokat, például csomagszintű ellenőrzést a aadrm.com URL-címére. Ha így tesz, azzal megszünteti a tanúsítvány rögzítését, amelyet az RMS-ügyfelek a Microsoft által kezelt hitelesítésszolgáltatókkal együtt az Azure Rights Management szolgáltatással folytatott kommunikációjuk biztosítására használnak.
Annak megállapításához, hogy az ügyfélkapcsolat megszakadt-e, mielőtt eléri a Azure Tartalomvédelmi szolgáltatások szolgáltatást, használja a következő PowerShell-parancsokat:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerAz eredménynek azt kell mutatnia, hogy a kiállító hitelesítésszolgáltató microsoftos hitelesítésszolgáltatótól származik, például:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Ha olyan hitelesítésszolgáltatói nevet lát, amely nem a Microsofttól származik, akkor valószínű, hogy a biztonságos ügyfél-szolgáltatás kapcsolat megszakad, és újrakonfigurálásra van szükség a tűzfalon.
TLS 1.2-es vagy újabb verzió (csak egységes címkézési ügyfél). Az egységes címkézési ügyfélnek 1.2-es vagy újabb TLS-verzióra van szüksége a kriptográfiailag biztonságos protokollok használatának biztosításához és a Microsoft biztonsági irányelveihez való igazodáshoz.
Microsoft 365 Enhanced Configuration Service (ECS). Az AIP-nek hozzá kell férnie a config.edge.skype.com URL-címhez, amely egy Microsoft 365 Enhanced Configuration Service (ECS).
Az ECS lehetővé teszi a Microsoft számára az AIP-telepítések újrakonfigurálását anélkül, hogy újra üzembe kellene helyeznie az AIP-t. A funkciók vagy frissítések fokozatos bevezetésének szabályozására szolgál, míg a bevezetés hatását az összegyűjtött diagnosztikai adatok figyelik.
Az ECS szolgáltatással vagy frissítéssel kapcsolatos biztonsági vagy teljesítményproblémák enyhítésére is használható. Az ECS támogatja a diagnosztikai adatokhoz kapcsolódó konfigurációs módosításokat is, hogy biztosítsa a megfelelő események gyűjtését.
A config.edge.skype.com URL-cím korlátozása befolyásolhatja a Microsoft azon képességét, hogy elhárítsa a hibákat, és hatással lehet az előzetes verziójú funkciók tesztelésére.
További információt az Office alapvető szolgáltatásai – Az Office üzembe helyezése című témakörben talál.
Naplózási URL-hálózati kapcsolat naplózása. Az AIP-naplók támogatásához az AIP-nek hozzá kell férnie a következő URL-címekhez:
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(Csak Android-eszközadatok)
További információ: Az AIP-jelentés előfeltételei.
Az AD RMS és az Azure RMS együttes használata
Az AD RMS és az Azure RMS egymás mellett, ugyanabban a szervezetben történő védelme érdekében az ugyanabban a szervezetben lévő ugyanazon felhasználó csak az AD RMS-ben támogatja a HYOK (saját kulcs) védelmét az Azure Information Protection használatával.
Ez a forgatókönyv a migrálás során nem támogatott. A támogatott áttelepítési útvonalak a következők:
Tipp.
Ha üzembe helyezi az Azure Information Protectiont, majd úgy dönt, hogy már nem szeretné használni ezt a felhőszolgáltatást, olvassa el az Azure Information Protection leszerelését és inaktiválását ismertető szakaszt.
Más, nem migrálási forgatókönyvek esetében, ahol mindkét szolgáltatás ugyanabban a szervezetben aktív, mindkét szolgáltatást úgy kell konfigurálni, hogy csak az egyik lehetővé teszi bármely felhasználó számára a tartalom védelmét. Konfigurálja az alábbi forgatókönyveket:
Átirányítások használata AD RMS-hez az Azure RMS-migráláshoz
Ha mindkét szolgáltatásnak egyszerre kell aktívnak lennie a különböző felhasználók számára, a kizárólagosság kikényszerítéséhez használjon szolgáltatásoldali konfigurációkat. Az AD RMS írásvédett módjának beállításához használja az Azure RMS előkészítési vezérlőit a felhőszolgáltatásban, a közzétételi URL-címen pedig egy ACL-t .
Szolgáltatáscímkék
Ha Azure-végpontot és NSG-t használ, mindenképpen engedélyezze az összes port elérését a következő szolgáltatáscímkékhez:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Ebben az esetben az Azure Information Protection szolgáltatás a következő IP-címektől és portoktól is függ:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- 443-os port HTTPS-forgalomhoz
Mindenképpen hozzon létre olyan szabályokat, amelyek engedélyezik a kimenő hozzáférést ezekhez az IP-címekhez, és ezen a porton keresztül.
Támogatott helyszíni kiszolgálók Azure Tartalomvédelmi szolgáltatások adatvédelemhez
A Microsoft Rights Management-összekötő használatakor az Azure Information Protection az alábbi helyszíni kiszolgálókat támogatja.
Ez az összekötő kommunikációs felületként működik, és továbbít a helyszíni kiszolgálók és a Azure Tartalomvédelmi szolgáltatások szolgáltatás között, amelyet az Azure Information Protection az Office-dokumentumok és e-mailek védelmére használ.
Az összekötő használatához konfigurálnia kell a címtár-szinkronizálást az Active Directory-erdők és a Microsoft Entra-azonosító között.
A támogatott kiszolgálók a következők:
| Server type (Kiszolgáló típusa) | Támogatott verziók |
|---|---|
| Exchange Server | - Exchange Server 2019 – Exchange Server 2016 – Exchange Server 2013 |
| Office SharePoint Server | – Office SharePoint Server 2019 - Office SharePoint Server 2016 – Office SharePoint Server 2013 |
| A Windows Servert futtató és a fájlbesorolási infrastruktúrát (FCI) használó fájlkiszolgálók | - Windows Server 2016 – Windows Server 2012 R2 – Windows Server 2012 |
További információ: A Microsoft Rights Management-összekötő üzembe helyezése.
Támogatott operációs rendszerek Azure Tartalomvédelmi szolgáltatások
Az alábbi operációs rendszerek támogatják a Azure Tartalomvédelmi szolgáltatások szolgáltatást, amely az AIP-hez nyújt adatvédelemmel:
| OS | Támogatott verziók |
|---|---|
| Windows rendszerű számítógépek | - Windows 10 (x86, x64) – Windows 11 (x86, x64) |
| macOS | A macOS 10.8 (Mountain Lion) minimális verziója |
| Android rendszerű telefonok és táblagépek | Az Android 6.0 minimális verziója |
| i Telefon és iPad | Az iOS 11.0 minimális verziója |
| Windows rendszerű telefonok és táblagépek | Windows 10 Mobile |
Következő lépések
Miután áttekintette az összes AIP-követelményt, és meggyőződött arról, hogy a rendszer megfelel, folytassa a felhasználók és csoportok felkészítésével az Azure Information Protectionre.