Требования к Azure Information Protection

  • Статья

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Новый клиент Microsoft Information Protection (без надстройки) в настоящее время находится в предварительной версии и планируется для общедоступной доступности.

Перед развертыванием Azure Information Protection убедитесь, что система соответствует следующим предварительным требованиям:

Чтобы развернуть Azure Information Protection, необходимо установить клиент AIP на всех компьютерах, где требуется использовать функции AIP. Дополнительные сведения см. в статье "Установка клиента унифицированных меток Azure Information Protection для пользователей и стороне клиента Azure Information Protection".

Подписка на Azure Information Protection

У вас должен быть план Azure Information Protection для классификации, маркировки и защиты с помощью сканера Azure Information Protection или клиента. Дополнительные сведения см. в разделе:

Если ваш вопрос не ответил на этот вопрос, обратитесь к своему диспетчеру учетных записей Майкрософт или служба поддержки Майкрософт.

Microsoft Entra ID

Для поддержки проверки подлинности и авторизации для Azure Information Protection необходимо иметь идентификатор Microsoft Entra. Чтобы использовать учетные записи пользователей из локального каталога (AD DS), необходимо также настроить интеграцию каталогов.

  • Единый вход (SSO) поддерживается для Azure Information Protection, чтобы пользователи не неоднократно запрашивали свои учетные данные. Если вы используете другое решение поставщика для федерации, проверка с этим поставщиком, чтобы настроить его для идентификатора Microsoft Entra. WS-Trust является общим требованием для этих решений для поддержки единого входа.

  • Многофакторная проверка подлинности (MFA) поддерживается в Azure Information Protection, если у вас есть необходимое клиентское программное обеспечение и правильно настроена инфраструктура поддержки MFA.

Условный доступ поддерживается в предварительной версии для документов, защищенных Azure Information Protection. Дополнительные сведения см. в статье": Azure Information Protection отображается как доступное облачное приложение для условного доступа. Как это работает?

Для конкретных сценариев требуются дополнительные предварительные требования, например при использовании многофакторной проверки подлинности на основе сертификатов или при несоответствии значений имени участника-пользователя.

Дополнительные сведения см. в разделе:

Клиентские устройства

Компьютеры пользователей или мобильные устройства должны работать в операционной системе, поддерживающей Azure Information Protection.

Поддерживаемые операционные системы для клиентских устройств

Клиенты Azure Information Protection для Windows поддерживаются следующими операционными системами:

  • Windows 11

  • Windows 10 (x86, x64). Рукописная запись не поддерживается в сборке Windows 10 RS4 и более поздних версиях.

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 и Windows Server 2012

Дополнительные сведения о поддержке в более ранних версиях Windows см. в вашей учетной записи Майкрософт или представители службы поддержки.

Примечание.

Когда клиенты Azure Information Protection защищают данные с помощью службы Azure Rights Management, данные можно использовать теми же устройствами , которые поддерживают службу Azure Rights Management.

ARM64

В настоящее время ARM64 не поддерживается.

Виртуальные машины

Если вы работаете с виртуальными машинами, проверка ли поставщик программного обеспечения для решения виртуального рабочего стола в качестве дополнительных конфигураций, необходимых для запуска унифицированных меток Azure Information Protection или клиента Azure Information Protection.

Например, для решений Citrix может потребоваться отключить перехватчики Интерфейса программирования приложений Citrix (API) для Office, клиента унифицированных меток Azure Information Protection или клиента Azure Information Protection.

Эти приложения используют следующие файлы соответственно: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Поддержка сервера

Для каждой из перечисленных выше версий сервера клиенты Azure Information Protection поддерживаются для служб удаленных рабочих столов.

При удалении профилей пользователей при использовании клиентов Azure Information Protection со службами удаленных рабочих столов не удаляйте папку %Appdata%\Microsoft\Protect .

Кроме того, серверные ядра и Nano Server не поддерживаются.

Дополнительные требования для каждого клиента

Каждый клиент Azure Information Protection имеет дополнительные требования. Подробная информация доступна в следующих статьях:

Приложения

Клиенты Azure Information Protection могут наклеивать и защищать документы и сообщения электронной почты с помощью Microsoft Word, Excel, PowerPoint и Outlook из любого из следующих выпусков Office:

  • Приложение Office для версий, перечисленных в таблице поддерживаемых версий для Приложения Microsoft 365 по каналу обновления, из Приложения Microsoft 365 для бизнеса или Microsoft 365 бизнес премиум, когда пользователю назначена лицензия azure Rights Management (также известная как Azure Information Protection для Office 365)

  • Приложения Microsoft 365 для предприятия

  • Office профессиональный плюс 2021 г.

  • Office профессиональный плюс 2019 г.

  • Office профессиональный плюс 2016 г. Обратите внимание, что так как Office 2016 не поддерживается, поддержка AIP будет выполнена на основе лучших усилий, и никаких исправлений не будет сделано для проблем, обнаруженных в версии 2016. см. статью Microsoft Office 2016

Другие выпуски Office не могут защищать документы и сообщения электронной почты с помощью службы Rights Management. Для этих выпусков Azure Information Protection поддерживается только для классификации, а метки, которые применяют защиту, не отображаются для пользователей.

Метки отображаются на панели в верхней части документа Office, доступного с помощью кнопки "Конфиденциальность " в клиенте унифицированных меток.

  • PDF-файлы версии 1.4 и более низкие будут автоматически обновлены до версии 1.5, когда клиент AIP помечает файл.

Дополнительные сведения см. в статье "Приложения, поддерживающие защиту данных Azure Rights Management".

Функции и возможности Office не поддерживаются

  • Клиенты Azure Information Protection для Windows не поддерживают несколько версий Office на одном компьютере или переключение учетных записей пользователей в Office.

  • Функция слияния Office не поддерживается с какой-либо функцией Azure Information Protection.

Брандмауэры и сетевая инфраструктура

Если у вас есть брандмауэры или аналогичные сетевые устройства, которые настроены для разрешения определенных подключений, требования к сетевому подключению перечислены в этой статье Office: Microsoft 365 Common и Office Online.

Azure Information Protection имеет следующие дополнительные требования:

  • Клиент унифицированных меток. Чтобы скачать метки и политики меток, разрешите следующий URL-адрес по протоколу HTTPS: *.protection.outlook.com

  • Веб-прокси. При использовании веб-прокси, требующего проверки подлинности, необходимо настроить прокси-сервер для использования интегрированных проверка подлинности Windows с учетными данными входа пользователя в Active Directory.

    Чтобы поддерживать файлы Proxy.pac при использовании прокси-сервера для получения маркера, добавьте следующий новый раздел реестра:

    • Путь: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\.
    • Ключ: UseDefaultCredentialsInProxy
    • Тип: DWORD
    • Значение: 1

  • Подключения между клиентами и службами TLS. Не прерывайте подключения tls типа "клиент — служба" (например, для проверки уровня пакета) к URL-адресу aadrm.com . Это нарушает привязку сертификата, которую клиенты RMS используют в ЦС, управляемых корпорацией Майкрософт, для защиты обмена данными со службой Azure Rights Management.

    Чтобы определить, завершается ли подключение клиента до достижения службы Azure Rights Management, используйте следующие команды PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    Результат должен показать, что выдающий ЦС находится из ЦС Майкрософт, например: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

    Если вы видите выдающееся имя ЦС, которое не входит в корпорацию Майкрософт, скорее всего, будет завершено безопасное подключение клиента к службе и требуется перенастройка в брандмауэре.

  • TLS версии 1.2 или выше (только клиент унифицированных меток). Для использования криптографически безопасных протоколов и соответствия рекомендациям по безопасности Майкрософт требуется tls версии 1.2 или более поздней.

  • Расширенная служба конфигурации Microsoft 365 (ECS). AIP должен иметь доступ к URL-адресу config.edge.skype.com , который является расширенной службой конфигурации Microsoft 365 (ECS).

    ECS предоставляет корпорации Майкрософт возможность перенастройки установок AIP без необходимости повторного развертывания AIP. Он используется для управления постепенным развертыванием функций или обновлений, а влияние развертывания отслеживается из собираемых диагностических данных.

    ECS также используется для устранения проблем с безопасностью или производительностью компонента или обновления. ECS также поддерживает изменения конфигурации, связанные с диагностическими данными, чтобы обеспечить сбор соответствующих событий.

    Ограничение URL-адреса config.edge.skype.com может повлиять на способность Корпорации Майкрософт устранять ошибки и может повлиять на возможность тестирования предварительных версий функций.

    Дополнительные сведения см. в разделе "Основные службы" для Office — развертывание Office.

  • Аудит подключения к сети URL-адреса ведения журнала. AIP должен иметь доступ к следующим URL-адресам, чтобы поддерживать журналы аудита AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Только данные устройства Android)

    Дополнительные сведения см. в разделе "Предварительные требования для отчетов AIP".

Сосуществование AD RMS с Azure RMS

Использование AD RMS и Azure RMS параллельно в той же организации для защиты содержимого одним и тем же пользователем в той же организации поддерживается только в AD RMS для HYOK (хранения собственного ключа) с помощью Azure Information Protection.

Этот сценарий не поддерживается во время миграции. Поддерживаемые пути миграции:

Совет

Если вы развернете Azure Information Protection, а затем решите, что вы больше не хотите использовать эту облачную службу, см . раздел "Отмена эксплуатации" и деактивация Azure Information Protection.

Для других сценариев, не относящихся к миграции, где обе службы активны в одной организации, обе службы должны быть настроены таким образом, чтобы только один из них позволял любому пользователю защищать содержимое. Настройте такие сценарии следующим образом:

  • Использование перенаправлений для миграции AD RMS в Azure RMS

  • Если обе службы должны быть активными для разных пользователей одновременно, используйте конфигурации на стороне службы для обеспечения эксклюзивности. Используйте элементы управления подключением Azure RMS в облачной службе и ACL на URL-адресе публикации, чтобы задать режим только для чтения для AD RMS.

Теги служб

Если вы используете конечную точку Azure и группу безопасности сети, обязательно разрешите доступ ко всем портам для следующих тегов службы:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Кроме того, в этом случае служба Azure Information Protection также зависит от следующих IP-адресов и портов:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4:198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Порт 443 для трафика HTTPS

Обязательно создайте правила, разрешающие исходящий доступ к этим конкретным IP-адресам и через этот порт.

Поддерживаемые локальные серверы для защиты данных Azure Rights Management

Следующие локальные серверы поддерживаются в Azure Information Protection при использовании соединителя Microsoft Rights Management.

Этот соединитель выступает в качестве интерфейса связи и ретрансляции между локальными серверами и службой Azure Rights Management, которая используется Azure Information Protection для защиты документов и сообщений электронной почты Office.

Чтобы использовать этот соединитель, необходимо настроить синхронизацию каталогов между лесами Active Directory и идентификатором Microsoft Entra.

Поддерживаемые серверы включают:

Тип сервера Поддерживаемые версии
Exchange Server — Exchange Server 2019
— Exchange Server 2016
— Exchange Server 2013
Office SharePoint Server — Office SharePoint Server 2019
— Office SharePoint Server 2016
— Office SharePoint Server 2013
Файловые серверы под управлением Windows Server и использующие инфраструктуру классификации файлов (FCI) — Windows Server 2016
— Windows Server 2012 R2
— Windows Server 2012

Дополнительные сведения см. в разделе "Развертывание соединителя Microsoft Rights Management".

Поддерживаемые операционные системы для Azure Rights Management

Следующие операционные системы поддерживают службу Azure Rights Management, которая обеспечивает защиту данных для AIP:

ОС Поддерживаемые версии
Компьютеры Windows — Windows 10 (x86, x64)
— Windows 11 (x86, x64)
macOS Минимальная версия macOS 10.8 (Mountain Lion)
Телефоны и планшеты Android Минимальная версия Android 6.0
i Телефон и iPad Минимальная версия iOS 11.0
Телефоны и планшеты с Windows Windows 10 Mobile

Дополнительные сведения см. в статье "Приложения, поддерживающие защиту данных Azure Rights Management".

Следующие шаги

После проверки всех требований AIP и подтверждения соответствия вашей системы перейдите к подготовке пользователей и групп для Azure Information Protection.