Wymagania usługi Azure Information Protection

  • Artykuł

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Nowy klient usługi Microsoft Information Protection (bez dodatku) jest obecnie w wersji zapoznawczej i jest zaplanowany na potrzeby ogólnej dostępności.

Przed wdrożeniem usługi Azure Information Protection upewnij się, że system spełnia następujące wymagania wstępne:

Aby wdrożyć usługę Azure Information Protection, musisz mieć klienta usługi AIP zainstalowanego na wszystkich komputerach, na których chcesz używać funkcji usługi AIP. Aby uzyskać więcej informacji, zobacz Instalowanie klienta ujednoliconego etykietowania usługi Azure Information Protection dla użytkowników i po stronie klienta usługi Azure Information Protection.

Subskrypcja usługi Azure Information Protection

Musisz mieć plan usługi Azure Information Protection na potrzeby klasyfikacji, etykietowania i ochrony przy użyciu skanera lub klienta usługi Azure Information Protection. Aby uzyskać więcej informacji, zobacz:

Jeśli nie udzielono odpowiedzi na twoje pytanie, skontaktuj się z menedżerem kont Microsoft lub pomoc techniczna firmy Microsoft.

Microsoft Entra ID

Aby obsługiwać uwierzytelnianie i autoryzację dla usługi Azure Information Protection, musisz mieć identyfikator Entra firmy Microsoft. Aby korzystać z kont użytkowników z katalogu lokalnego (AD DS), należy również skonfigurować integrację katalogów.

  • Logowanie jednokrotne (SSO) jest obsługiwane w usłudze Azure Information Protection, dzięki czemu użytkownicy nie są wielokrotnie monitowani o poświadczenia. Jeśli używasz innego rozwiązania dostawcy do federacji, zapoznaj się z tym dostawcą, aby dowiedzieć się, jak skonfigurować go dla identyfikatora Entra firmy Microsoft. WS-Trust jest typowym wymaganiem dla tych rozwiązań do obsługi logowania jednokrotnego.

  • Uwierzytelnianie wieloskładnikowe (MFA) jest obsługiwane w usłudze Azure Information Protection, jeśli masz wymagane oprogramowanie klienckie i prawidłowo skonfigurowano infrastrukturę obsługującą uwierzytelnianie wieloskładnikowe.

Dostęp warunkowy jest obsługiwany w wersji zapoznawczej dla dokumentów chronionych przez usługę Azure Information Protection. Aby uzyskać więcej informacji, zobacz: Zobacz Azure Information Protection jest wymieniona jako dostępna aplikacja w chmurze na potrzeby dostępu warunkowego — jak to działa?

Dodatkowe wymagania wstępne są wymagane w określonych scenariuszach, takich jak w przypadku korzystania z uwierzytelniania opartego na certyfikatach lub wieloskładnikowego, lub gdy wartości nazwy UPN nie są zgodne z adresami e-mail użytkownika.

Aby uzyskać więcej informacji, zobacz:

Urządzenia klienckie

Komputery użytkownika lub urządzenia przenośne muszą działać w systemie operacyjnym obsługującym usługę Azure Information Protection.

Obsługiwane systemy operacyjne dla urządzeń klienckich

Klienci usługi Azure Information Protection dla systemu Windows są obsługiwani w następujących systemach operacyjnych:

  • Windows 11

  • Windows 10 (x86, x64). Pisanie ręczne nie jest obsługiwane w kompilacji systemu Windows 10 RS4 i nowszych wersjach.

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 i Windows Server 2012

Aby uzyskać szczegółowe informacje na temat pomocy technicznej we wcześniejszych wersjach systemu Windows, skontaktuj się z twoim kontem Microsoft lub przedstawicielem pomocy technicznej.

Uwaga

Gdy klienci usługi Azure Information Protection chronią dane przy użyciu usługi Azure Rights Management, dane mogą być używane przez te same urządzenia , które obsługują usługę Azure Rights Management.

ARM64

Usługa ARM64 nie jest obecnie obsługiwana.

Maszyny wirtualne

Jeśli pracujesz z maszynami wirtualnymi, sprawdź, czy dostawca oprogramowania dla rozwiązania pulpitu wirtualnego jest wymagany jako dodatkowe konfiguracje wymagane do uruchomienia ujednoliconego etykietowania usługi Azure Information Protection lub klienta usługi Azure Information Protection.

Na przykład w przypadku rozwiązań Citrix może być konieczne wyłączenie punktów zaczepienia interfejsu API (API) citrix dla pakietu Office, klienta ujednoliconego etykietowania usługi Azure Information Protection lub klienta usługi Azure Information Protection.

Te aplikacje używają odpowiednio następujących plików: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Obsługa serwera

W przypadku każdej z wymienionych powyżej wersji serwera klienci usługi Azure Information Protection są obsługiwani w przypadku usług pulpitu zdalnego.

Jeśli usuniesz profile użytkowników podczas korzystania z klientów usługi Azure Information Protection z usługami pulpitu zdalnego, nie usuwaj folderu %Appdata%\Microsoft\Protect .

Ponadto serwery Server Core i Nano Server nie są obsługiwane.

Dodatkowe wymagania na klienta

Każdy klient usługi Azure Information Protection ma dodatkowe wymagania. Aby uzyskać szczegółowe informacje, zobacz:

Aplikacje

Klienci usługi Azure Information Protection mogą oznaczać i chronić dokumenty i wiadomości e-mail przy użyciu programów Microsoft Word, Excel, PowerPoint i Outlook z dowolnej z następujących wersji pakietu Office:

  • aplikacja pakietu Office s, dla wersji wymienionych w tabeli obsługiwanych wersji dla Aplikacje Microsoft 365 według kanału aktualizacji, z Aplikacje Microsoft 365 dla firm lub Microsoft 365 Business Premium, gdy użytkownik ma przypisaną licencję usługi Azure Rights Management (znaną również jako Azure Information) Ochrona usługi Office 365)

  • Aplikacje Microsoft 365 for Enterprise

  • Office Professional Plus 2021

  • Office Professional Plus 2019

  • Office Professional Plus 2016 — należy pamiętać, że ponieważ pakiet Office 2016 nie jest wsparciem głównym, pomoc techniczna usługi AIP zostanie wykonana w oparciu o najlepsze wysiłki i nie zostaną wykonane żadne poprawki dla problemów wykrytych w wersji 2016. zobacz Microsoft Office 2016

Inne wersje pakietu Office nie mogą chronić dokumentów i wiadomości e-mail przy użyciu usługi Rights Management. W przypadku tych edycji usługa Azure Information Protection jest obsługiwana tylko w przypadku klasyfikacji, a etykiety, które stosują ochronę, nie są wyświetlane dla użytkowników.

Etykiety są wyświetlane na pasku wyświetlanym w górnej części dokumentu pakietu Office dostępnym z poziomu przycisku Ważność w kliencie ujednoliconego etykietowania.

  • Pliki PDF w wersji 1.4 i niższej zostaną automatycznie uaktualnione do wersji 1.5, gdy klient usługi AIP oznaczy plik.

Aby uzyskać więcej informacji, zobacz Aplikacje obsługujące ochronę danych usługi Azure Rights Management.

Funkcje i możliwości pakietu Office nie są obsługiwane

  • Klienci usługi Azure Information Protection dla systemu Windows nie obsługują wielu wersji pakietu Office na tym samym komputerze ani przełączania kont użytkowników w pakiecie Office.

  • Funkcja korespondencji seryjnej pakietu Office nie jest obsługiwana w przypadku żadnej funkcji usługi Azure Information Protection.

Zapory i infrastruktura sieci

Jeśli masz zapory lub podobne interweniujące urządzenia sieciowe skonfigurowane do zezwalania na określone połączenia, wymagania dotyczące łączności sieciowej są wymienione w tym artykule pakietu Office: Microsoft 365 Common and Office Online.

Usługa Azure Information Protection ma następujące dodatkowe wymagania:

  • Ujednolicony klient etykietowania. Aby pobrać etykiety i zasady etykiet, zezwól na następujący adres URL za pośrednictwem protokołu HTTPS: *.protection.outlook.com

  • Serwery proxy sieci Web. Jeśli używasz internetowego serwera proxy wymagającego uwierzytelniania, musisz skonfigurować serwer proxy do korzystania ze zintegrowanego uwierzytelniania systemu Windows przy użyciu poświadczeń logowania użytkownika usługi Active Directory.

    Aby obsługiwać pliki Proxy.pac podczas używania serwera proxy do uzyskania tokenu, dodaj następujący nowy klucz rejestru:

    • Ścieżka: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Klucz: UseDefaultCredentialsInProxy
    • Typ: DWORD
    • Wartość: 1

  • Połączenia typu klient-usługa TLS. Nie przerywaj żadnych połączeń TLS typu klient-usługa, na przykład w celu przeprowadzenia inspekcji na poziomie pakietów, do adresu URL aadrm.com . W przeciwnym razie zostanie przerwane przypinanie certyfikatów, którego używają klienci usługi RMS w przypadku zarządzanych przez firmę Microsoft urzędów certyfikacji w celu zabezpieczania swojej komunikacji z usługą Azure Rights Management.

    Aby określić, czy połączenie klienta zostało zakończone przed dotarciem do usługi Azure Rights Management, użyj następujących poleceń programu PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    Wynik powinien wskazywać, że urząd wystawiający certyfikaty pochodzi z urzędu certyfikacji firmy Microsoft, na przykład: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Jeśli widzisz nazwę urzędu wystawiającego certyfikaty, która nie pochodzi od firmy Microsoft, prawdopodobnie bezpieczne połączenie klient-usługa zostanie przerwane i wymaga ponownej konfiguracji zapory.

  • Protokół TLS w wersji 1.2 lub nowszej (tylko klient ujednoliconego etykietowania). Klient ujednoliconego etykietowania wymaga protokołu TLS w wersji 1.2 lub nowszej, aby zapewnić użycie kryptograficznie bezpiecznych protokołów i dostosować je do wytycznych firmy Microsoft dotyczących zabezpieczeń.

  • Usługa konfiguracji rozszerzonej platformy Microsoft 365 (ECS). Usługa AIP musi mieć dostęp do adresu URL config.edge.skype.com , który jest usługą konfiguracji rozszerzonej platformy Microsoft 365 (ECS).

    Usługa ECS umożliwia firmie Microsoft ponowne konfigurowanie instalacji usługi AIP bez konieczności ponownego wdrażania usługi AIP. Służy do kontrolowania stopniowego wdrażania funkcji lub aktualizacji, podczas gdy wpływ wdrożenia jest monitorowany na podstawie zbieranych danych diagnostycznych.

    Usługa ECS służy również do eliminowania problemów z zabezpieczeniami lub wydajnością dotyczących funkcji lub aktualizacji. Usługa ECS obsługuje również zmiany konfiguracji związane z danymi diagnostycznymi, aby zapewnić zbieranie odpowiednich zdarzeń.

    Ograniczenie adresu URL config.edge.skype.com może mieć wpływ na zdolność firmy Microsoft do ograniczania błędów i może mieć wpływ na możliwość testowania funkcji w wersji zapoznawczej.

    Aby uzyskać więcej informacji, zobacz Podstawowe usługi pakietu Office — wdrażanie pakietu Office.

  • Inspekcja łączności sieciowej adresu URL rejestrowania. Usługa AIP musi mieć dostęp do następujących adresów URL w celu obsługi dzienników inspekcji usługi AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Tylko dane urządzenia z systemem Android)

    Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące raportowania usługi AIP.

Współistnienie usług AD RMS z usługą Azure RMS

Używanie usług AD RMS i Azure RMS obok siebie w tej samej organizacji w celu ochrony zawartości przez tego samego użytkownika w tej samej organizacji jest obsługiwane tylko w usłudze AD RMS dla usługi HYOK (przechowywania własnego klucza) z usługą Azure Information Protection.

Ten scenariusz nie jest obsługiwany podczas migracji. Obsługiwane ścieżki migracji obejmują:

Napiwek

Jeśli wdrożysz usługę Azure Information Protection, a następnie zdecydujesz, że nie chcesz już korzystać z tej usługi w chmurze, zobacz Likwidowanie i dezaktywowanie usługi Azure Information Protection.

W innych scenariuszach, w których obie usługi są aktywne w tej samej organizacji, obie usługi muszą być skonfigurowane tak, aby tylko jeden z nich zezwalał każdemu użytkownikowi na ochronę zawartości. Skonfiguruj takie scenariusze w następujący sposób:

  • Używanie przekierowań na potrzeby migracji usługi AD RMS do usługi Azure RMS

  • Jeśli obie usługi muszą być aktywne dla różnych użytkowników w tym samym czasie, użyj konfiguracji po stronie usługi, aby wymusić wyłączność. Użyj kontrolek dołączania usługi Azure RMS w usłudze w chmurze i listy ACL w adresie URL publikowania, aby ustawić tryb tylko do odczytu dla usług AD RMS.

Tagi usługi

Jeśli używasz punktu końcowego platformy Azure i sieciowej grupy zabezpieczeń, upewnij się, że zezwalasz na dostęp do wszystkich portów dla następujących tagów usługi:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Ponadto w tym przypadku usługa Azure Information Protection również zależy od następujących adresów IP i portów:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Port 443 dla ruchu HTTPS

Pamiętaj, aby utworzyć reguły zezwalające na dostęp wychodzący do tych konkretnych adresów IP i za pośrednictwem tego portu.

Obsługiwane serwery lokalne na potrzeby ochrony danych usługi Azure Rights Management

Następujące serwery lokalne są obsługiwane w usłudze Azure Information Protection podczas korzystania z łącznika usługi Microsoft Rights Management.

Ten łącznik działa jako interfejs komunikacji i przekaźniki między serwerami lokalnymi i usługą Azure Rights Management, która jest używana przez usługę Azure Information Protection do ochrony dokumentów i wiadomości e-mail pakietu Office.

Aby użyć tego łącznika, należy skonfigurować synchronizację katalogów między lasami usługi Active Directory i identyfikatorem Entra firmy Microsoft.

Obsługiwane serwery obejmują:

Typ serwera Obsługiwane wersje
Exchange Server — Exchange Server 2019
— Exchange Server 2016
— Exchange Server 2013
Office SharePoint Server — Office SharePoint Server 2019
— Office SharePoint Server 2016
— Office SharePoint Server 2013
Serwery plików z systemem Windows Server i używają infrastruktury klasyfikacji plików (FCI) — Windows Server 2016
— Windows Server 2012 R2
— Windows Server 2012

Aby uzyskać więcej informacji, zobacz Wdrażanie łącznika usługi Microsoft Rights Management.

Obsługiwane systemy operacyjne dla usługi Azure Rights Management

Następujące systemy operacyjne obsługują usługę Azure Rights Management, która zapewnia ochronę danych dla usługi AIP:

System operacyjny Obsługiwane wersje
Komputery z systemem Windows — Windows 10 (x86, x64)
— Windows 11 (x86, x64)
macOS Minimalna wersja systemu macOS 10.8 (Mountain Lion)
Telefony i tablety z systemem Android Minimalna wersja systemu Android 6.0
i Telefon i iPad Minimalna wersja systemu iOS 11.0
Telefony z systemem Windows i tablety Windows 10 Mobile

Aby uzyskać więcej informacji, zobacz Aplikacje obsługujące ochronę danych usługi Azure Rights Management.

Następne kroki

Po przejrzeniu wszystkich wymagań usługi AIP i potwierdzeniu, że system jest zgodny, przejdź do sekcji Przygotowywanie użytkowników i grup dla usługi Azure Information Protection.