Requisiti di Azure Information Protection

Articolo
05/10/2024

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo Azure Information Protection viene ritirato e sostituito con le etichette integrate nelle app e nei servizi di Microsoft 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

Il nuovo client Microsoft Purview Information Protection (senza il componente aggiuntivo) è attualmente in anteprima e pianificato per la disponibilità generale.

Prima di distribuire Azure Information Protection, assicurarsi che il sistema soddisfi i prerequisiti seguenti:

Firewall e infrastruttura di rete

Firewall e infrastruttura di rete

Se sono presenti firewall o dispositivi di rete simili configurati per consentire connessioni specifiche, i requisiti di connettività di rete sono elencati in questo articolo di Office: Microsoft 365 Common e Office Online.

Azure Information Protection prevede i requisiti aggiuntivi seguenti:

Client Microsoft Purview Informaiton Protection. Per scaricare etichette e criteri di etichetta, consentire l'URL seguente su HTTPS: *.protection.outlook.com
Proxy Web. Se si usa un proxy Web che richiede l'autenticazione, è necessario configurare il proxy per l'uso di autenticazione di Windows integrato con le credenziali di accesso di Active Directory dell'utente.

Per supportare i file Proxy.pac quando si usa un proxy per acquisire un token, aggiungere la nuova chiave del Registro di sistema seguente:
- Percorso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
- Chiave: UseDefaultCredentialsInProxy
- Tipo: DWORD
- Valore: 1
Connessioni da client a servizio TLS. Non terminare alcuna connessione TLS da client a servizio, ad esempio per eseguire l'ispezione a livello di pacchetto, all'URL di aadrm.com . Se si terminano le connessione, viene interrotta l'associazione dei certificati usati dai client RMS con le autorità di certificazione gestite da Microsoft per contribuire a proteggere le comunicazioni con il servizio Azure Rights Management.

Per determinare se la connessione client viene terminata prima che raggiunga il servizio Azure Rights Management, usare i comandi di PowerShell seguenti:
```
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer
```
Il risultato dovrebbe indicare che la CA emittente proviene da una CA Microsoft, ad esempio: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

Se viene visualizzato un nome ca emittente che non proviene da Microsoft, è probabile che la connessione da client a servizio sicura venga terminata e che sia necessaria la riconfigurazione nel firewall.
TLS versione 1.2 o successiva (solo client di etichettatura unificata). Il client di etichettatura unificata richiede una versione TLS 1.2 o successiva per garantire l'uso di protocolli crittografici sicuri e allinearsi alle linee guida per la sicurezza Microsoft.
Microsoft 365 Enhanced Configuration Service (ECS). AIP deve avere accesso all'URL di config.edge.skype.com , ovvero un servizio di configurazione avanzata di Microsoft 365.

ECS offre a Microsoft la possibilità di riconfigurare le installazioni di AIP senza dover ridistribuire AIP. Viene usato per controllare l'implementazione graduale di funzionalità o aggiornamenti, mentre l'impatto dell'implementazione viene monitorato dai dati di diagnostica raccolti.

ECS viene usato anche per attenuare i problemi di sicurezza o prestazioni con una funzionalità o un aggiornamento. ECS supporta anche le modifiche di configurazione correlate ai dati di diagnostica, per garantire che vengano raccolti gli eventi appropriati.

La limitazione dell'URL config.edge.skype.com può influire sulla capacità di Microsoft di attenuare gli errori e può influire sulla possibilità di testare le funzionalità di anteprima.

Per altre informazioni, vedere Servizi essenziali per Office - Distribuire Office.
Connettività di rete dell'URL di registrazione di controllo. AIP deve essere in grado di accedere agli URL seguenti per supportare i log di controllo AIP:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com (solo dati del dispositivo Android)
Per altre informazioni, vedere Prerequisiti per la creazione di report AIP.

Coesistenza di AD RMS con Azure RMS

L'uso side-by-side di AD RMS e Azure RMS, nella stessa organizzazione, per proteggere il contenuto da parte dello stesso utente nella stessa organizzazione, è supportato solo in AD RMS per HYOK (con la propria chiave) con Azure Information Protection.

Questo scenario non è supportato durante la migrazione. I percorsi di migrazione supportati includono:

Suggerimento

Se si distribuisce Azure Information Protection e si decide di non usare più questo servizio cloud, vedere Rimozione delle autorizzazioni e disattivazione di Azure Information Protection.

Per altri scenari non di migrazione, in cui entrambi i servizi sono attivi nella stessa organizzazione, entrambi i servizi devono essere configurati in modo che solo uno di essi consenta a un determinato utente di proteggere il contenuto. Configurare questi scenari come segue:

Usare i reindirizzamenti per una migrazione di AD RMS ad Azure RMS
Se entrambi i servizi devono essere attivi per utenti diversi contemporaneamente, usare le configurazioni lato servizio per applicare l'esclusività. Usare i controlli di onboarding di Azure RMS nel servizio cloud e un elenco di controllo di accesso nell'URL di pubblicazione per impostare la modalità di sola lettura per AD RMS.

Tag di servizio

Se si usa un endpoint di Azure e un gruppo di sicurezza di rete, assicurarsi di consentire l'accesso a tutte le porte per i tag di servizio seguenti:

AzureInformationProtection
AzureActiveDirectory
AzureFrontDoor.Frontend

In questo caso, inoltre, il servizio Azure Information Protection dipende anche dagli indirizzi IP e dalla porta seguenti:

13.107.9.198
13.107.6.198
2620:1ec:4::198
2620:1ec:a92::198
13.107.6.181
13.107.9.181
Porta 443, per il traffico HTTPS

Assicurarsi di creare regole che consentano l'accesso in uscita a questi indirizzi IP specifici e tramite questa porta.

Server locali supportati per la protezione dei dati di Azure Rights Management

I server locali seguenti sono supportati con Azure Information Protection quando si usa il connettore Microsoft Rights Management.

Questo connettore funge da interfaccia di comunicazione e inoltra tra i server locali e il servizio Azure Rights Management, usato da Azure Information Protection per proteggere documenti e messaggi di posta elettronica di Office.

Per usare questo connettore, è necessario configurare la sincronizzazione della directory tra le foreste di Active Directory e l'ID Microsoft Entra.

I server supportati includono:

Tipo di server	Versioni supportate
Exchange Server	- Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013
Office SharePoint Server	- Office SharePoint Server 2019 - Office SharePoint Server 2016 - Office SharePoint Server 2013
File server che eseguono Windows Server e usano l'infrastruttura di classificazione file	- Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012

Per altre informazioni, vedere Distribuzione del connettore Microsoft Rights Management.

Sistemi operativi supportati per Azure Rights Management

I sistemi operativi seguenti supportano il servizio Azure Rights Management, che fornisce la protezione dei dati per AIP:

Sistema operativo	Versioni supportate
Computer Windows	- Windows 10 (x86, x64) - Windows 11 (x86, x64)
macOS	Versione minima di macOS 10.8 (Mountain Lion)
Telefoni e tablet Android	Versione minima di Android 6.0
i Telefono e iPad	Versione minima di iOS 11.0
Telefoni e tablet Windows	Windows 10 Mobile

Passaggi successivi

Dopo aver esaminato tutti i requisiti AIP e aver verificato che il sistema sia conforme, continuare con Preparazione di utenti e gruppi per Azure Information Protection.