Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Antes de começar a encriptar itens com o serviço Azure Rights Management do Proteção de Informações do Microsoft Purview, certifique-se de que cumpre todos os requisitos.
Firewalls e infraestrutura de rede
Se tiver firewalls ou dispositivos de rede intervenientes semelhantes configurados para permitir ligações específicas, os requisitos de conectividade de rede são listados no seguinte artigo do Microsoft 365: Microsoft 365 Common e Office Online.
O serviço Azure Rights Management tem os seguintes requisitos adicionais:
Se utilizar o cliente Proteção de Informações do Microsoft Purview: para transferir etiquetas de confidencialidade e políticas de etiqueta, permita o seguinte URL através de HTTPS: *.protection.outlook.com
Se utilizar proxies Web: se o proxy Web necessitar de autenticação, tem de configurar o proxy para utilizar autenticação do Windows integrados com as credenciais de início de sessão do Active Directory do utilizador.
Para suportar ficheiros Proxy.pac ao utilizar um proxy para adquirir um token, adicione a seguinte nova chave de registo:
-
Caminho:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ -
Chave:
UseDefaultCredentialsInProxy -
Tipo:
DWORD -
Valor:
1
-
Caminho:
Ligações cliente a serviço TLS. Não termine nenhuma ligação de cliente para serviço TLS, por exemplo, para efetuar uma inspeção ao nível do pacote para o URL de aadrm.com . Ao fazê-lo, interrompe a afixação de certificados que os clientes do serviço Azure Rights Management utilizam com as Autoridades de Certificação (ACs) geridas pela Microsoft para ajudar a proteger a comunicação com o serviço Azure Rights Management.
Para determinar se a ligação de cliente é terminada antes de chegar ao serviço Azure Rights Management, utilize os seguintes comandos do PowerShell:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerO resultado deve mostrar que a AC emissora provém de uma AC da Microsoft, por exemplo:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Se vir um nome de AC emissor que não seja da Microsoft, é provável que a ligação cliente a serviço segura esteja a ser terminada e precise de ser reconfigurada na firewall.
Serviço de Configuração Avançada (ECS) do Microsoft 365. O serviço Azure Rights Management tem de ter acesso ao URL de config.edge.skype.com , que é um Serviço de Configuração Avançada (ECS) do Microsoft 365.
O ECS fornece à Microsoft a capacidade de reconfigurar o serviço Azure Rights Management quando for necessário. Por exemplo, o ECS é utilizado para controlar a implementação gradual de funcionalidades ou atualizações, enquanto o impacto da implementação é monitorizado a partir dos dados de diagnóstico que estão a ser recolhidos.
O ECS também é utilizado para mitigar problemas de segurança ou desempenho com uma funcionalidade ou atualização. O ECS também suporta alterações de configuração relacionadas com dados de diagnóstico, para ajudar a garantir que os eventos adequados estão a ser recolhidos.
Limitar o URL de config.edge.skype.com pode afetar a capacidade da Microsoft de mitigar erros e pode afetar a sua capacidade de testar funcionalidades de pré-visualização.
Para saber mais, confira Serviços essenciais do Office.
Auditar a conectividade da rede do URL de registo. O serviço Azure Rights Management tem de conseguir aceder aos seguintes URLs para suportar registos de auditoria:
https://*.events.data.microsoft.com-
https://*.aria.microsoft.com(Apenas dados do dispositivo Android)
Coexistência com os Serviços de Gestão de Direitos do Active Directory (AD RMS)
A utilização da versão no local dos Serviços de Gestão de Direitos do Active Directory (AD RMS) e do serviço Azure Rights Management lado a lado, na mesma organização, para encriptar conteúdos pelo mesmo utilizador na mesma organização, não é suportada no AD RMS, a menos que esteja a utilizar a configuração HYOK (manter a sua própria chave) para a chave de encriptação de raiz do AD RMS.
Este cenário não é suportado para uma migração para o Serviço Azure Rights Management. Os caminhos de migração suportados são:
Noutros cenários de não migração, em que ambos os serviços estão ativos na mesma organização, ambos os serviços têm de ser configurados para que apenas um deles permita que um determinado utilizador encripte conteúdo. Configure estes cenários da seguinte forma:
Utilize redirecionamentos para uma migração do AD RMS para o Azure Rights Management.
Se ambos os serviços precisarem de estar ativos para diferentes utilizadores ao mesmo tempo, utilize configurações do lado do serviço para impor exclusividade. Utilize controlos de inclusão do serviço Azure Rights Management e uma ACL no URL Publicar para definir o modo Só de Leitura para o AD RMS.
Grupos de Segurança de Rede do Azure e Etiquetas de Serviço
Se estiver a utilizar um ponto final do Azure e um Grupo de Segurança de Rede (NSG) do Azure, confirme que permite o acesso a todas as portas para as seguintes Etiquetas de Serviço:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Além disso, neste caso, o serviço Azure Rights Management também depende dos seguintes endereços IP e portas:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Porta 443, para tráfego HTTPS
Confirme que cria regras que permitem o acesso de saída a estes endereços IP específicos e através desta porta.
Servidores no local suportados para o serviço Azure Rights Management
Os seguintes servidores no local são suportados com o serviço Azure Rights Management quando utiliza o conector Microsoft Rights Management:
- Exchange Server
- SharePoint Server
- Servidores de ficheiros que executam Windows Server e utilizam a Infraestrutura de Classificação de Ficheiros (FCI)
Para versões suportadas, outros requisitos e passos de configuração para o conector, consulte Implementar o conector Microsoft Rights Management.
Sistemas operacionais com suporte
Os seguintes sistemas operativos suportam nativamente o serviço Azure Rights Management. No entanto, se instalar uma aplicação que utiliza o serviço Azure Rights Management, como Microsoft 365 Enterprise aplicações ou o cliente Proteção de Informações do Microsoft Purview, marcar os requisitos dessa aplicação para sistemas operativos suportados.
| SO | Versões com suporte |
|---|---|
| Computadores Windows | - Windows 10 (x86, x64) - Windows 11 (x86, x64) |
| macOS | Versão mínima do macOS 10.8 (Mountain Lion) |
| Telemóveis e tablets Android | Versão mínima do Android 6.0 |
| iPhone e iPad | Versão mínima do iOS 11.0 |
| Telemóveis e tablets Windows | Windows 10 Mobile |
requisitos de Microsoft Entra
Um diretório Microsoft Entra é um requisito para utilizar o serviço Azure Rights Management. Utilize uma conta de um diretório Microsoft Entra para iniciar sessão no portal do Microsoft Purview.
Se tiver uma subscrição que inclua Proteção de Informações do Microsoft Purview, o seu diretório de Microsoft Entra é criado automaticamente, se necessário.
As secções seguintes listam requisitos de Microsoft Entra adicionais para cenários específicos.
Suporte para autenticação baseada em certificados (CBA)
Quando as aplicações iOS e Android suportam o serviço Azure Rights Management, suportam a autenticação baseada em certificados.
Para obter mais informações, veja Introdução à autenticação baseada em certificado no Microsoft Entra ID com federação.
Autenticação multifator (MFA)
Para utilizar a autenticação multifator (MFA) com o serviço Azure Rights Management, tem de ter, pelo menos, um dos seguintes instalados:
Inquilinos geridos pela Microsoft, com Microsoft Entra ID ou Microsoft 365. Configure a MFA do Azure para impor a MFA aos utilizadores.
Para saber mais, confira:
Inquilinos federados, onde os servidores de federação operam no local. Configure os servidores de federação para Microsoft Entra ID ou Microsoft 365. Por exemplo, se estiver a utilizar Serviços de Federação do Active Directory (AD FS) (AD FS), veja Configurar Métodos de Autenticação Adicionais para o AD FS.
Conector rights Management e MFA
O conector Rights Management e o scanner Proteção de Informações do Microsoft Purview não suportam a MFA.
Se implementar o conector ou o scanner, as seguintes contas não devem exigir a MFA:
- A conta que instala e configura o conector.
- A conta do principal de serviço no ID Microsoft Entra, Aadrm_S-1-7-0, que o conector cria.
- A conta de serviço que executa o scanner.
Os valores upn do utilizador não correspondem aos respetivos endereços de e-mail
As configurações em que os valores UPN dos utilizadores não correspondem aos respetivos endereços de e-mail não são uma configuração recomendada e não suportam o início de sessão único no serviço Azure Rights Management.
Se não conseguir alterar o valor UPN, configure IDs alternativos para os utilizadores relevantes e dê-lhes instruções sobre como iniciar sessão nas respetivas aplicações do Office com este ID alternativo.
Para obter mais informações, veja Configurar o ID de Início de Sessão Alternativo.
Dica
Se o nome de domínio no valor UPN for um domínio verificado para o seu inquilino, adicione o valor UPN do utilizador como outro endereço de e-mail ao atributo proxyAddresses do ID Microsoft Entra. Isto permite que o utilizador seja autorizado para o serviço Azure Rights Management se o respetivo valor UPN for especificado no momento em que os direitos de utilização são concedidos.
Para obter mais informações, veja Saiba como as contas de utilizador e os grupos utilizam o serviço Azure Rights Management.
Autenticar no local com outro fornecedor de autenticação
Se estiver a utilizar um dispositivo móvel ou um computador Mac que efetua a autenticação no local através de um fornecedor de autenticação que não seja da Microsoft, este tem de suportar o protocolo OAuth 2.0.
Configurações avançadas para Entra ID
Para configurações dependentes no Entra que podem impedir ou permitir o acesso ao serviço Azure Rights Management, veja Microsoft Entra configuração para conteúdo encriptado.