Condividi tramite

Requisiti per il servizio Azure Rights Management

Prima di iniziare a crittografare gli elementi usando il servizio Azure Rights Management da Microsoft Purview Information Protection, assicurarsi di soddisfare tutti i requisiti.

Firewall e infrastruttura di rete

Se sono presenti firewall o dispositivi di rete intermedi simili configurati per consentire connessioni specifiche, i requisiti di connettività di rete sono elencati nell'articolo microsoft 365 seguente: Microsoft 365 Common e Office Online.

Il servizio Azure Rights Management presenta i requisiti aggiuntivi seguenti:

  • Se si usa il client Microsoft Purview Information Protection: per scaricare etichette di riservatezza e criteri di etichetta, consentire l'URL seguente tramite HTTPS: *.protection.outlook.com

  • Se si usano proxy Web: se il proxy Web richiede l'autenticazione, è necessario configurare il proxy per l'uso di autenticazione di Windows integrate con le credenziali di accesso di Active Directory dell'utente.

    Per supportare i file Proxy.pac quando si usa un proxy per acquisire un token, aggiungere la nuova chiave del Registro di sistema seguente:

    • Percorso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Chiave: UseDefaultCredentialsInProxy
    • Tipo: DWORD
    • Valore: 1

  • Connessioni da client a servizio TLS. Non terminare alcuna connessione da client a servizio TLS, ad esempio per eseguire l'ispezione a livello di pacchetto, all'URL aadrm.com . In questo modo si interrompe l'aggiunta di certificati che i client per il servizio Azure Rights Management usano con autorità di certificazione gestite da Microsoft per proteggere la comunicazione con il servizio Azure Rights Management.

    Per determinare se la connessione client viene terminata prima che raggiunga il servizio Azure Rights Management, usare i comandi di PowerShell seguenti:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    Il risultato dovrebbe indicare che la CA emittente proviene da una CA Microsoft, ad esempio: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Se viene visualizzato un nome CA emittente che non proviene da Microsoft, è probabile che la connessione da client a servizio sicura venga terminata e che sia necessario riconfigurare il firewall.

  • Microsoft 365 Enhanced Configuration Service (ECS). Il servizio Azure Rights Management deve avere accesso all'URL di config.edge.skype.com , ovvero un servizio di configurazione avanzata (ECS) di Microsoft 365.

    ECS offre a Microsoft la possibilità di riconfigurare il servizio Azure Rights Management quando necessario. Ad esempio, ECS viene usato per controllare l'implementazione graduale di funzionalità o aggiornamenti, mentre l'impatto dell'implementazione viene monitorato dai dati di diagnostica raccolti.

    ECS viene usato anche per attenuare i problemi di sicurezza o prestazioni con una funzionalità o un aggiornamento. ECS supporta anche le modifiche di configurazione correlate ai dati di diagnostica, per garantire che vengano raccolti gli eventi appropriati.

    La limitazione dell'URL config.edge.skype.com può influire sulla capacità di Microsoft di attenuare gli errori e può influire sulla capacità di testare le funzionalità di anteprima.

    Per altre informazioni, vedere Servizi essenziali per Office.

  • Controllare la connettività di rete degli URL di registrazione. Il servizio Azure Rights Management deve essere in grado di accedere agli URL seguenti per supportare i log di controllo:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (solo dati del dispositivo Android)

Coesistenza con Active Directory Rights Management Services (AD RMS)

L'uso della versione locale di Active Directory Rights Management Services (AD RMS) e del servizio Azure Rights Management affiancati, nella stessa organizzazione, per crittografare il contenuto da parte dello stesso utente della stessa organizzazione, non è supportato in AD RMS a meno che non si usi la configurazione HYOK (con la propria chiave) per la chiave di crittografia radice di AD RMS.

Questo scenario non è supportato per una migrazione al servizio Azure Rights Management. I percorsi di migrazione supportati sono:

Per altri scenari non di migrazione, in cui entrambi i servizi sono attivi nella stessa organizzazione, entrambi i servizi devono essere configurati in modo che solo uno di essi consenta a un determinato utente di crittografare il contenuto. Configurare tali scenari come indicato di seguito:

  • Usare i reindirizzamenti per una migrazione da AD RMS ad Azure Rights Management.

  • Se entrambi i servizi devono essere attivi contemporaneamente per utenti diversi, usare configurazioni sul lato servizio per applicare l'esclusività. Usare i controlli di onboarding dal servizio Azure Rights Management e un ACL nell'URL di pubblicazione per impostare la modalità di sola lettura per AD RMS.

Gruppi di sicurezza di rete di Azure e tag di servizio

Se si usa un endpoint di Azure e un gruppo di sicurezza di rete di Azure, assicurarsi di consentire l'accesso a tutte le porte per i tag di servizio seguenti:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

In questo caso, inoltre, il servizio Azure Rights Management dipende anche dagli indirizzi IP e dalle porte seguenti:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Porta 443, per il traffico HTTPS

Assicurarsi di creare regole che consentano l'accesso in uscita a questi indirizzi IP specifici e tramite questa porta.

Server locali supportati per il servizio Azure Rights Management

I server locali seguenti sono supportati con il servizio Azure Rights Management quando si usa il connettore Microsoft Rights Management:

  • Exchange Server
  • SharePoint Server
  • File server che eseguono Windows Server e usano l'infrastruttura di classificazione file

Per le versioni supportate, altri requisiti e passaggi di configurazione per il connettore, vedere Distribuzione del connettore Microsoft Rights Management.

Sistemi operativi supportati

I sistemi operativi seguenti supportano in modo nativo il servizio Azure Rights Management. Tuttavia, se si installa un'app che usa il servizio Azure Rights Management, ad esempio Microsoft 365 Enterprise app o il client Microsoft Purview Information Protection, verificare i requisiti dell'app per i sistemi operativi supportati.

Sistema operativo Versioni supportate
Computer Windows - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS Versione minima di macOS 10.8 (Mountain Lion)
Telefoni e tablet Android Versione minima di Android 6.0
iPhone e iPad Versione minima di iOS 11.0
Telefoni e tablet Windows Windows 10 Mobile

requisiti Microsoft Entra

Una directory Microsoft Entra è un requisito per l'uso del servizio Azure Rights Management. Usare un account da una directory Microsoft Entra per accedere al portale di Microsoft Purview.

Se si dispone di una sottoscrizione che include Microsoft Purview Information Protection, la directory Microsoft Entra viene creata automaticamente, se necessario.

Nelle sezioni seguenti sono elencati i requisiti di Microsoft Entra aggiuntivi per scenari specifici.

Supporto per l'autenticazione basata su certificati (CBA)

Quando le app iOS e Android supportano il servizio Azure Rights Management, supportano l'autenticazione basata su certificati.

Per altre informazioni, vedere Introduzione all'autenticazione basata su certificato nell Microsoft Entra ID con federazione.

Autenticazione a più fattori (MFA)

Per usare l'autenticazione a più fattori (MFA) con il servizio Azure Rights Management, è necessario avere installato almeno una delle opzioni seguenti:

Connettore Rights Management e MFA

Il connettore Rights Management e lo scanner Microsoft Purview Information Protection non supportano l'autenticazione a più fattori.

Se si distribuisce il connettore o lo scanner, gli account seguenti non devono richiedere l'autenticazione a più fattori:

  • Account che installa e configura il connettore.
  • Account dell'entità servizio nell'ID Microsoft Entra, Aadrm_S-1-7-0, creato dal connettore.
  • Account del servizio che esegue lo scanner.

I valori UPN dell'utente non corrispondono ai relativi indirizzi di posta elettronica

Le configurazioni in cui i valori UPN degli utenti non corrispondono agli indirizzi di posta elettronica non sono una configurazione consigliata e non supportano l'accesso Single Sign-On per il servizio Azure Rights Management.

Se non è possibile modificare il valore UPN, configurare ID alternativi per gli utenti pertinenti e indicare loro come accedere alle app di Office usando questo ID alternativo.

Per altre informazioni, vedere Configurazione dell'ID di accesso alternativo.

Consiglio

Se il nome di dominio nel valore UPN è un dominio verificato per il tenant, aggiungere il valore UPN dell'utente come altro indirizzo di posta elettronica all'attributo Microsoft Entra ID proxyAddresses. In questo modo l'utente può essere autorizzato per il servizio Azure Rights Management se viene specificato il valore UPN al momento dell'concessione dei diritti di utilizzo.

Per altre informazioni, vedere Informazioni su come gli account utente e i gruppi usano il servizio Azure Rights Management.

Autenticazione locale tramite un altro provider di autenticazione

Se si usa un dispositivo mobile o un computer Mac che esegue l'autenticazione locale usando un provider di autenticazione non Microsoft, deve supportare il protocollo OAuth 2.0.

Configurazioni avanzate per Entra ID

Per le configurazioni dipendenti in Entra che possono impedire o consentire l'accesso al servizio Azure Rights Management, vedere configurazione Microsoft Entra per il contenuto crittografato.

  • Last updated on