Persyaratan Perlindungan Informasi Azure
Catatan
Apakah Anda mencari Perlindungan Informasi Microsoft Purview, sebelumnya Microsoft Information Protection (MIP)?
Add-in Perlindungan Informasi Azure dihentikan dan diganti dengan label yang disertakan dalam aplikasi dan layanan Microsoft 365 Anda. Pelajari selengkapnya tentang status dukungan komponen Perlindungan Informasi Azure lainnya.
Klien Perlindungan Informasi Microsoft Purview (tanpa add-in) umumnya tersedia.
Sebelum menyebarkan Perlindungan Informasi Azure, pastikan sistem Anda memenuhi prasyarat berikut:
Firewall dan infrastruktur jaringan
Jika Anda memiliki firewall atau perangkat jaringan intervensi serupa yang dikonfigurasi untuk mengizinkan koneksi tertentu, persyaratan konektivitas jaringan tercantum dalam artikel Office ini: Microsoft 365 Common dan Office Online.
Perlindungan Informasi Azure memiliki persyaratan tambahan berikut:
Klien Microsoft Purview Informaiton Protection. Untuk mengunduh label dan kebijakan label, izinkan URL berikut melalui HTTPS: *.protection.outlook.com
Proksi web. Jika Anda menggunakan proksi web yang memerlukan autentikasi, Anda harus mengonfigurasi proksi untuk menggunakan autentikasi Windows terintegrasi dengan kredensial masuk Direktori Aktif pengguna.
Untuk mendukung file Proxy.pac saat menggunakan proksi untuk memperoleh token, tambahkan kunci registri baru berikut:
- Jalur:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ - Kunci:
UseDefaultCredentialsInProxy - Jenis:
DWORD - Nilai:
1
- Jalur:
Koneksi klien-ke-layanan TLS. Jangan hentikan koneksi klien-ke-layanan TLS, misalnya untuk melakukan inspeksi tingkat paket, ke URL aadrm.com . Melakukannya merusak penyematan sertifikat yang digunakan klien RMS dengan CA yang dikelola Microsoft untuk membantu mengamankan komunikasi mereka dengan layanan Azure Rights Management.
Untuk menentukan apakah koneksi klien Anda dihentikan sebelum mencapai layanan Azure Rights Management, gunakan perintah PowerShell berikut:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerHasilnya harus menunjukkan bahwa CA penerbit berasal dari CA Microsoft, misalnya:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Jika Anda melihat nama CA penerbit yang bukan dari Microsoft, kemungkinan koneksi klien-ke-layanan aman Anda sedang dihentikan dan memerlukan konfigurasi ulang pada firewall Anda.
TLS versi 1.2 atau yang lebih tinggi (hanya klien pelabelan terpadu). Klien pelabelan terpadu memerlukan versi TLS 1.2 atau lebih tinggi untuk memastikan penggunaan protokol yang aman secara kriptografis dan selaras dengan pedoman keamanan Microsoft.
Microsoft 365 Enhanced Configuration Service (ECS). AIP harus memiliki akses ke URL config.edge.skype.com , yang merupakan Microsoft 365 Enhanced Configuration Service (ECS).
ECS memberi Microsoft kemampuan untuk mengonfigurasi ulang penginstalan AIP tanpa perlu Anda menyebarkan ulang AIP. Ini digunakan untuk mengontrol peluncuran fitur atau pembaruan secara bertahap, sementara dampak peluncuran dipantau dari data diagnostik yang dikumpulkan.
ECS juga digunakan untuk mengurangi masalah keamanan atau performa dengan fitur atau pembaruan. ECS juga mendukung perubahan konfigurasi yang terkait dengan data diagnostik, untuk membantu memastikan bahwa peristiwa yang sesuai sedang dikumpulkan.
Membatasi URL config.edge.skype.com dapat memengaruhi kemampuan Microsoft untuk mengurangi kesalahan dan dapat memengaruhi kemampuan Anda untuk menguji fitur pratinjau.
Untuk informasi selengkapnya, lihat Layanan penting untuk Office - Menyebarkan Office.
Mengaudit konektivitas jaringan URL pengelogan. AIP harus dapat mengakses URL berikut untuk mendukung log audit AIP:
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(Hanya data perangkat Android)
Untuk informasi selengkapnya, lihat Prasyarat untuk pelaporan AIP.
Koeksistensi AD RMS dengan Azure RMS
Menggunakan AD RMS dan Azure RMS secara berdampingan, dalam organisasi yang sama, untuk melindungi konten oleh pengguna yang sama di organisasi yang sama, hanya didukung dalam perlindungan AD RMS untuk HYOK (tahan kunci Anda sendiri) dengan Perlindungan Informasi Azure.
Skenario ini tidak didukung selama migrasi. Jalur migrasi yang didukung meliputi:
Tip
Jika Anda menyebarkan Perlindungan Informasi Azure lalu memutuskan bahwa Anda tidak lagi ingin menggunakan layanan awan ini, lihat Menonaktifkan dan menonaktifkan Perlindungan Informasi Azure.
Untuk skenario non-migrasi lainnya, di mana kedua layanan aktif dalam organisasi yang sama, kedua layanan harus dikonfigurasi sehingga hanya satu dari mereka yang memungkinkan pengguna tertentu untuk melindungi konten. Konfigurasikan skenario tersebut sebagai berikut:
Menggunakan pengalihan untuk migrasi AD RMS ke Azure RMS
Jika kedua layanan harus aktif untuk pengguna yang berbeda secara bersamaan, gunakan konfigurasi sisi layanan untuk memberlakukan pengecualian. Gunakan kontrol orientasi Azure RMS di layanan cloud, dan ACL pada URL Terbitkan untuk mengatur mode Baca-Saja untuk AD RMS.
Tag Layanan
Jika Anda menggunakan titik akhir Azure dan NSG, pastikan untuk mengizinkan akses ke semua port untuk Tag Layanan berikut:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Selain itu, dalam hal ini, layanan Perlindungan Informasi Azure juga bergantung pada alamat IP dan port berikut:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Port 443, untuk lalu lintas HTTPS
Pastikan untuk membuat aturan yang memungkinkan akses keluar ke alamat IP tertentu ini, dan melalui port ini.
Server lokal yang didukung untuk perlindungan data Azure Rights Management
Server lokal berikut ini didukung dengan Perlindungan Informasi Azure saat Anda menggunakan konektor Microsoft Rights Management.
Konektor ini bertindak sebagai antarmuka komunikasi, dan menyampaikan antara server lokal dan layanan Manajemen Hak Azure, yang digunakan oleh Perlindungan Informasi Azure untuk melindungi dokumen dan email Office.
Untuk menggunakan konektor ini, Anda harus mengonfigurasi sinkronisasi direktori antara forest Direktori Aktif dan ID Microsoft Entra Anda.
Server yang didukung meliputi:
| Jenis server | Versi yang didukung |
|---|---|
| Server Exchange | - Server Exchange 2019 - Server Exchange 2016 - Server Exchange 2013 |
| Office SharePoint Server | - Office SharePoint Server 2019 - Office SharePoint Server 2016 - Office SharePoint Server 2013 |
| Server file yang menjalankan Windows Server dan menggunakan Infrastruktur Klasifikasi File (FCI) | - Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012 |
Untuk informasi selengkapnya, lihat Menyebarkan konektor Microsoft Rights Management.
Sistem operasi yang didukung untuk Azure Rights Management
Sistem operasi berikut mendukung layanan Azure Rights Management, yang menyediakan perlindungan data untuk AIP:
| OS | Versi yang didukung |
|---|---|
| Komputer Windows | - Windows 10 (x86, x64) - Windows 11 (x86, x64) |
| macOS | Versi minimum macOS 10.8 (Mountain Lion) |
| Ponsel dan tablet Android | Versi minimum Android 6.0 |
| i Telepon dan iPad | Versi minimum iOS 11.0 |
| Ponsel dan tablet Windows | Windows 10 Mobile |
Langkah berikutnya
Setelah Anda meninjau semua persyaratan AIP dan mengonfirmasi bahwa sistem Anda mematuhi, lanjutkan dengan Menyiapkan pengguna dan grup untuk Perlindungan Informasi Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk