Требования к Azure Information Protection

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Клиент Защита информации Microsoft Purview (без надстройки) общедоступен.

Перед развертыванием Azure Information Protection убедитесь, что система соответствует следующим предварительным требованиям:

• Брандмауэры и сетевая инфраструктура

Брандмауэры и сетевая инфраструктура

Если у вас есть брандмауэры или аналогичные сетевые устройства, которые настроены для разрешения определенных подключений, требования к сетевому подключению перечислены в этой статье Office: Microsoft 365 Common и Office Online.

Azure Information Protection имеет следующие дополнительные требования:

• Клиент Microsoft Purview Informaiton Protection. Чтобы скачать метки и политики меток, разрешите следующий URL-адрес по протоколу HTTPS: *.protection.outlook.com

• Веб-прокси. При использовании веб-прокси, требующего проверки подлинности, необходимо настроить прокси-сервер для использования интегрированных проверка подлинности Windows с учетными данными входа пользователя в Active Directory.

  Чтобы поддерживать файлы Proxy.pac при использовании прокси-сервера для получения маркера, добавьте следующий новый раздел реестра:

  • Путь: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\.
  • Ключ: UseDefaultCredentialsInProxy
  • Тип: DWORD
  • Значение: 1

• Подключения между клиентами и службами TLS. Не прерывайте подключения tls типа "клиент — служба" (например, для проверки уровня пакета) к URL-адресу aadrm.com . Это нарушает привязку сертификата, которую клиенты RMS используют в ЦС, управляемых корпорацией Майкрософт, для защиты обмена данными со службой Azure Rights Management.

  Чтобы определить, завершается ли подключение клиента до достижения службы Azure Rights Management, используйте следующие команды PowerShell:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  Результат должен показать, что выдающий ЦС находится из ЦС Майкрософт, например: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

  Если вы видите выдающееся имя ЦС, которое не входит в корпорацию Майкрософт, скорее всего, будет завершено безопасное подключение клиента к службе и требуется перенастройка в брандмауэре.

• TLS версии 1.2 или выше (только клиент унифицированных меток). Для использования криптографически безопасных протоколов и соответствия рекомендациям по безопасности Майкрософт требуется tls версии 1.2 или более поздней.

• Расширенная служба конфигурации Microsoft 365 (ECS). AIP должен иметь доступ к URL-адресу config.edge.skype.com , который является расширенной службой конфигурации Microsoft 365 (ECS).

  ECS предоставляет корпорации Майкрософт возможность перенастройки установок AIP без необходимости повторного развертывания AIP. Он используется для управления постепенным развертыванием функций или обновлений, а влияние развертывания отслеживается из собираемых диагностических данных.

  ECS также используется для устранения проблем с безопасностью или производительностью компонента или обновления. ECS также поддерживает изменения конфигурации, связанные с диагностическими данными, чтобы обеспечить сбор соответствующих событий.

  Ограничение URL-адреса config.edge.skype.com может повлиять на способность Корпорации Майкрософт устранять ошибки и может повлиять на возможность тестирования предварительных версий функций.

  Дополнительные сведения см. в разделе "Основные службы" для Office — развертывание Office.

• Аудит подключения к сети URL-адреса ведения журнала. AIP должен иметь доступ к следующим URL-адресам, чтобы поддерживать журналы аудита AIP:

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com (Только данные устройства Android)

  Дополнительные сведения см. в разделе "Предварительные требования для отчетов AIP".

Сосуществование AD RMS с Azure RMS

Использование AD RMS и Azure RMS параллельно в той же организации для защиты содержимого одним и тем же пользователем в той же организации поддерживается только в AD RMS для HYOK (хранения собственного ключа) с помощью Azure Information Protection.

Этот сценарий не поддерживается во время миграции. Поддерживаемые пути миграции:

• От AD RMS до Azure Information Protection

• Из Azure Information Protection в AD RMS

Совет

Если вы развернете Azure Information Protection, а затем решите, что вы больше не хотите использовать эту облачную службу, см . раздел "Отмена эксплуатации" и деактивация Azure Information Protection.

Для других сценариев, не относящихся к миграции, где обе службы активны в одной организации, обе службы должны быть настроены таким образом, чтобы только один из них позволял любому пользователю защищать содержимое. Настройте такие сценарии следующим образом:

• Использование перенаправлений для миграции AD RMS в Azure RMS

• Если обе службы должны быть активными для разных пользователей одновременно, используйте конфигурации на стороне службы для обеспечения эксклюзивности. Используйте элементы управления подключением Azure RMS в облачной службе и ACL на URL-адресе публикации, чтобы задать режим только для чтения для AD RMS.

Теги служб

Если вы используете конечную точку Azure и группу безопасности сети, обязательно разрешите доступ ко всем портам для следующих тегов службы:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

Кроме того, в этом случае служба Azure Information Protection также зависит от следующих IP-адресов и портов:

• 13.107.9.198
• 13.107.6.198
• 2620:1ec:4:198
• 2620:1ec:a92::198
• 13.107.6.181
• 13.107.9.181
• Порт 443 для трафика HTTPS

Обязательно создайте правила, разрешающие исходящий доступ к этим конкретным IP-адресам и через этот порт.

Поддерживаемые локальные серверы для защиты данных Azure Rights Management

Следующие локальные серверы поддерживаются в Azure Information Protection при использовании соединителя Microsoft Rights Management.

Этот соединитель выступает в качестве интерфейса связи и ретрансляции между локальными серверами и службой Azure Rights Management, которая используется Azure Information Protection для защиты документов и сообщений электронной почты Office.

Чтобы использовать этот соединитель, необходимо настроить синхронизацию каталогов между лесами Active Directory и идентификатором Microsoft Entra.

Поддерживаемые серверы включают:

Тип сервера	Поддерживаемые версии
Exchange Server	— Exchange Server 2019 — Exchange Server 2016 — Exchange Server 2013
Office SharePoint Server	— Office SharePoint Server 2019 — Office SharePoint Server 2016 — Office SharePoint Server 2013
Файловые серверы под управлением Windows Server и использующие инфраструктуру классификации файлов (FCI)	— Windows Server 2016 — Windows Server 2012 R2 — Windows Server 2012

Дополнительные сведения см. в разделе "Развертывание соединителя Microsoft Rights Management".

Поддерживаемые операционные системы для Azure Rights Management

Следующие операционные системы поддерживают службу Azure Rights Management, которая обеспечивает защиту данных для AIP:

ОС	Поддерживаемые версии
Компьютеры Windows	— Windows 10 (x86, x64) — Windows 11 (x86, x64)
macOS	Минимальная версия macOS 10.8 (Mountain Lion)
Телефоны и планшеты Android	Минимальная версия Android 6.0
i Телефон и iPad	Минимальная версия iOS 11.0
Телефоны и планшеты с Windows	Windows 10 Mobile

Следующие шаги

После проверки всех требований AIP и подтверждения соответствия вашей системы перейдите к подготовке пользователей и групп для Azure Information Protection.