Vereisten voor Azure Information Protection

Notitie

Bent u op zoek naar Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?

De azure Information Protection geïntegreerde labelclient bevindt zich nu in de onderhoudsmodus. U wordt aangeraden labels te gebruiken die zijn ingebouwd in uw Office 365 apps en services. Meer informatie

Voordat u Azure Information Protection implementeert, moet u ervoor zorgen dat uw systeem voldoet aan de volgende vereisten:

Als u Azure Information Protection wilt implementeren, moet de AIP-client zijn geïnstalleerd op alle computers waarop u AIP-functies wilt gebruiken. Zie Install the Azure Information Protection unified labeling client for users and The client side of Azure Information Protection (De clientzijde van Azure Information Protection) voor meer informatie.

Abonnement voor Azure Information Protection

U moet een Azure Information Protection-plan hebben voor classificatie, labels en beveiliging met behulp van de Azure Information Protection-scanner of -client. Zie voor meer informatie:

Als uw vraag daar niet wordt beantwoord, neemt u contact op met uw Microsoft-accountmanager of Microsoft Ondersteuning.

Azure Active Directory

Als u verificatie en autorisatie voor Azure Information Protection wilt ondersteunen, moet u een Azure Active Directory (AD) hebben. Als u gebruikersaccounts uit uw on-premises directory (AD DS) wilt gebruiken, moet u ook directory-integratie configureren.

  • Eenmalige aanmelding (SSO) wordt ondersteund voor Azure Information Protection, zodat gebruikers niet herhaaldelijk om hun referenties worden gevraagd. Als u een andere leveranciersoplossing voor federatie gebruikt, vraagt u deze leverancier hoe u deze kunt configureren voor Azure AD. WS-Trust is een algemene vereiste voor deze oplossingen om eenmalige aanmelding te ondersteunen.

  • Meervoudige verificatie (MFA) wordt ondersteund met Azure Information Protection wanneer u de vereiste clientsoftware hebt en de MFA-ondersteunende infrastructuur correct hebt geconfigureerd.

Voorwaardelijke toegang wordt ondersteund in preview voor documenten die worden beveiligd door Azure Information Protection. Zie Voor meer informatie: Ik zie Dat Azure Information Protection wordt vermeld als een beschikbare cloud-app voor voorwaardelijke toegang. Hoe werkt dit?

Aanvullende vereisten zijn vereist voor specifieke scenario's, zoals bij het gebruik van certificaatgebaseerde of meervoudige verificatie, of wanneer UPN-waarden niet overeenkomen met e-mailadressen van gebruikers.

Zie voor meer informatie:

Clientapparaten

Gebruikerscomputers of mobiele apparaten moeten worden uitgevoerd op een besturingssysteem dat Ondersteuning biedt voor Azure Information Protection.

Ondersteunde besturingssystemen voor clientapparaten

De Azure Information Protection-clients voor Windows worden ondersteund, zijn de volgende besturingssystemen:

  • Windows 11

  • Windows 10 (x86, x64). Handschrift wordt niet ondersteund in de Windows 10 RS4-build en hoger.

  • Windows 8.1 (x86, x64)

  • Windows 8 (x86, x64)

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 en Windows Server 2012

Neem contact op met uw Microsoft-account of ondersteuningsmedewerker voor meer informatie over ondersteuning in eerdere versies van Windows.

Notitie

Wanneer de Azure Information Protection-clients de gegevens beveiligen met behulp van de Azure Rights Management-service, kunnen de gegevens worden gebruikt door dezelfde apparaten die ondersteuning bieden voor de Azure Rights Management-service.

ARM64

ARM64 wordt momenteel niet ondersteund.

Virtuele machines

Als u met virtuele machines werkt, controleert u of de softwareleverancier voor uw virtuele bureaubladoplossing aanvullende configuraties bevat die nodig zijn voor het uitvoeren van de azure Information Protection unified labeling of de Azure Information Protection-client.

Voor Citrix-oplossingen moet u mogelijk API-hooks (Citrix Application Programming Interface) uitschakelen voor Office, de Azure Information Protection Unified Labeling-client of de Azure Information Protection-client.

Deze toepassingen gebruiken respectievelijk de volgende bestanden: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Serverondersteuning

Voor elk van de bovenstaande serverversies worden Azure Information Protection-clients ondersteund voor Extern bureaublad-services.

Als u gebruikersprofielen verwijdert wanneer u de Azure Information Protection-clients met Extern bureaublad-services gebruikt, moet u de map %Appdata%\Microsoft\Protect niet verwijderen.

Bovendien worden Server Core en Nano Server niet ondersteund.

Aanvullende vereisten per client

Elke Azure Information Protection-client heeft aanvullende vereisten. Zie deze artikelen voor meer informatie:

Toepassingen

De Azure Information Protection-clients kunnen documenten en e-mailberichten labelen en beveiligen met behulp van Microsoft Word, Excel, PowerPoint en Outlook van een van de volgende Office-edities:

  • Office-apps, voor de versies die worden vermeld in de tabel met ondersteunde versies voor Microsoft 365-apps via updatekanaal, van Microsoft 365-apps voor Bedrijven of Microsoft 365 Business Premium, wanneer aan de gebruiker een licentie is toegewezen voor Azure Rights Management (ook wel Bekend als Azure Information Protection voor Office 365)

  • Microsoft 365-apps voor ondernemingen

  • Office Professioneel Plus 2021

  • Office Professional Plus 2019

  • Office Professional Plus 2016: aangezien Office 2016 geen basisondersteuning meer heeft, wordt AIP-ondersteuning uitgevoerd op basis van best effort en worden er geen oplossingen uitgevoerd voor problemen die zijn gedetecteerd in versie 2016. zie Microsoft Office 2016

  • Office Professional Plus 2013 met Service Pack 1

In andere Office-edities kunnen documenten en e-mailberichten niet worden beveiligd met een Rights Management-service. Voor deze edities wordt Azure Information Protection alleen ondersteund voor classificatie en labels die beveiliging toepassen, worden niet weergegeven voor gebruikers.

Labels worden weergegeven in een balk boven aan het Office-document, toegankelijk via de knop Gevoeligheid in de client voor geïntegreerde labels.

Zie Toepassingen die ondersteuning bieden voor Azure Rights Management gegevensbeveiliging voor meer informatie.

Office-functies en -mogelijkheden worden niet ondersteund

  • De Azure Information Protection-clients voor Windows bieden geen ondersteuning voor meerdere versies van Office op dezelfde computer of schakelen tussen gebruikersaccounts in Office.

  • De functie Afdruk samenvoegen van Office wordt niet ondersteund met een Azure Information Protection-functie.

Firewalls en netwerkinfrastructuur

Als u firewalls of vergelijkbare tussenliggende netwerkapparaten hebt die zijn geconfigureerd om specifieke verbindingen toe te staan, worden de vereisten voor netwerkconnectiviteit vermeld in dit Office-artikel: Microsoft 365 Common en Office Online.

Azure Information Protection heeft de volgende aanvullende vereisten:

  • Client voor geïntegreerd labelen. Als u labels en labelbeleid wilt downloaden, staat u de volgende URL toe via HTTPS: *.protection.outlook.com

  • Webproxy's. Als u een webproxy gebruikt waarvoor verificatie is vereist, moet u de proxy configureren voor het gebruik van geïntegreerde Windows-verificatie met de Active Directory-aanmeldingsreferenties van de gebruiker.

    Als u Proxy.pac-bestanden wilt ondersteunen bij het gebruik van een proxy om een token te verkrijgen, voegt u de volgende nieuwe registersleutel toe:

    • Pad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Sleutel: UseDefaultCredentialsInProxy
    • Type: DWORD
    • Waarde: 1
  • TLS-client-naar-service-verbindingen. Beëindig geen TLS-client-naar-service-verbindingen, bijvoorbeeld om inspectie op pakketniveau uit te voeren, naar de aadrm.com URL. Als u die verbindingen verbreekt, wordt de certificaatkoppeling opgeheven die RMS-clients gebruiken met door Microsoft beheerde certificeringsinstanties om u te helpen de communicatie met de Azure Rights Management-service te beveiligen.

    Gebruik de volgende PowerShell-opdrachten om te bepalen of de clientverbinding wordt beëindigd voordat deze de Azure Rights Management-service bereikt:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    Het resultaat moet laten zien dat de verlenende CA afkomstig is van een Microsoft-CA, bijvoorbeeld: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Als u een verlenende CA-naam ziet die niet van Microsoft is, is het waarschijnlijk dat uw beveiligde client-naar-service-verbinding wordt beëindigd en opnieuw moet worden geconfigureerd op uw firewall.

  • TLS versie 1.2 of hoger (alleen geïntegreerde labelclient). Voor de geïntegreerde labelclient is tls-versie 1.2 of hoger vereist om het gebruik van cryptografisch beveiligde protocollen te garanderen en in overeenstemming te zijn met de beveiligingsrichtlijnen van Microsoft.

  • Microsoft 365 Enhanced Configuration Service (ECS). AIP moet toegang hebben tot de config.edge.skype.com-URL , een Microsoft 365 Enhanced Configuration Service (ECS).

    ECS biedt Microsoft de mogelijkheid om AIP-installaties opnieuw te configureren zonder dat u AIP opnieuw hoeft te implementeren. Het wordt gebruikt om de geleidelijke implementatie van functies of updates te beheren, terwijl de impact van de implementatie wordt bewaakt aan de hand van diagnostische gegevens die worden verzameld.

    ECS wordt ook gebruikt om beveiligings- of prestatieproblemen met een functie of update te beperken. ECS ondersteunt ook configuratiewijzigingen met betrekking tot diagnostische gegevens om ervoor te zorgen dat de juiste gebeurtenissen worden verzameld.

    Het beperken van de config.edge.skype.com URL kan van invloed zijn op de mogelijkheid van Microsoft om fouten te beperken en kan van invloed zijn op uw mogelijkheid om preview-functies te testen.

    Zie Essentiële services voor Office - Office implementeren voor meer informatie.

  • Netwerkconnectiviteit van url's voor logboekregistratie controleren. AIP moet toegang hebben tot de volgende URL's om AIP-auditlogboeken te ondersteunen:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Alleen android-apparaatgegevens)

    Zie Vereisten voor AIP-rapportage voor meer informatie.

Naast elkaar uitvoeren van AD RMS en Azure RMS

Het gebruik van AD RMS en Azure RMS naast elkaar, in dezelfde organisatie, om inhoud door dezelfde gebruiker in dezelfde organisatie te beveiligen, wordt alleen ondersteund in AD RMS voor HYOK-beveiliging (hold your own key) met Azure Information Protection.

Dit scenario wordt niet ondersteund tijdens de migratie. Ondersteunde migratiepaden zijn onder andere:

Tip

Zie Decommissioning and deactivating Azure Information Protection (Azure Rights Management uit bedrijf nemen en deactiveren) als u Azure Information Protection implementeert en vervolgens besluit dat u deze cloudservice niet langer wilt gebruiken.

Voor andere, niet-migratiescenario's, waarbij beide services actief zijn in dezelfde organisatie, moeten beide services zo worden geconfigureerd dat slechts één van deze services een bepaalde gebruiker toestaat om inhoud te beveiligen. Configureer dergelijke scenario's als volgt:

  • Omleidingen gebruiken voor een migratie van AD RMS naar Azure RMS

  • Als beide services tegelijkertijd actief moeten zijn voor verschillende gebruikers, gebruikt u configuraties aan de servicezijde om exclusiviteit af te dwingen. Gebruik de azure RMS-besturingselementen voor onboarding in de cloudservice en een ACL op de publicatie-URL om de modus Alleen-lezen in te stellen voor AD RMS.

Servicetags

Als u een Azure-eindpunt en een NSG gebruikt, moet u toegang tot alle poorten toestaan voor de volgende servicetags:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Bovendien is de Azure Information Protection-service in dit geval ook afhankelijk van de volgende IP-adressen en poort:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Poort 443 voor HTTPS-verkeer

Zorg ervoor dat u regels maakt die uitgaande toegang tot deze specifieke IP-adressen en via deze poort toestaan.

Ondersteunde on-premises servers voor Azure Rights Management gegevensbeveiliging

De volgende on-premises servers worden ondersteund met Azure Information Protection wanneer u de Microsoft Rights Management-connector gebruikt.

Deze connector fungeert als een communicatie-interface en stuurt door tussen on-premises servers en de Azure Rights Management-service, die door Azure Information Protection wordt gebruikt om Office-documenten en e-mailberichten te beveiligen.

Als u deze connector wilt gebruiken, dan dient u adreslijstsynchronisatie te configureren tussen uw Active Directory-forests en Azure Active Directory.

Ondersteunde servers zijn onder andere:

Servertype Ondersteunde versies
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Bestandsservers waarop Windows Server wordt uitgevoerd en die gebruikmaken van Infrastructuur voor bestandsclassificatie (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Zie De Microsoft Rights Management-connector implementeren voor meer informatie.

Ondersteunde besturingssystemen voor Azure Rights Management

De volgende besturingssystemen ondersteunen de Azure Rights Management-service, die gegevensbeveiliging biedt voor AIP:

Besturingssysteem Ondersteunde versies
Windows-computers - Windows 8 (x86, x64)
- Windows 8.1 (x86, x64)
- Windows 10 (x86, x64)
MacOS Minimale versie van macOS 10.8 (Mountain Lion)
Android-telefoons en -tablets Minimale versie van Android 6.0
iPhone en iPad Minimale versie van iOS 11.0
Windows-telefoons en -tablets Windows 10 Mobile

Zie Toepassingen die ondersteuning bieden voor Azure Rights Management gegevensbeveiliging voor meer informatie.

Volgende stappen

Zodra u alle AIP-vereisten hebt gecontroleerd en hebt bevestigd dat uw systeem voldoet, gaat u verder met Het voorbereiden van gebruikers en groepen voor Azure Information Protection.