Krav för Azure Information Protection
Anteckning
Letar du efter Microsoft Purview Information Protection, tidigare Microsoft Information Protection (MIP)?
Azure Information Protection-tillägget för Office är nu i underhållsläge och kommer att dras tillbaka april 2024. I stället rekommenderar vi att du använder etiketter som är inbyggda i dina Office 365 appar och tjänster. Läs mer om supportstatus för andra Azure Information Protection-komponenter.
Innan du distribuerar Azure Information Protection kontrollerar du att systemet uppfyller följande krav:
- Azure Information Protection-prenumeration
- Azure Active Directory
- Klientenheter
- Program
- Brandväggar och nätverksinfrastruktur
Om du vill distribuera Azure Information Protection måste du ha AIP-klienten installerad på alla datorer där du vill använda AIP-funktioner. Mer information finns i Installera Azure Information Protection enhetlig etiketteringsklient för användare och Klientsidan för Azure Information Protection.
Azure Information Protection-prenumeration
Du måste ha en Azure-Information Protection plan för klassificering, etikettering och skydd med hjälp av Azure Information Protection-skannern eller klienten. Mer information finns i:
- Microsoft 365-licensieringsvägledning för säkerhetsefterlevnad &
- Jämförelse av modern arbetsplan (PDF-nedladdning)
Om din fråga inte besvaras där kontaktar du din Microsoft Account Manager eller Microsoft Support.
Azure Active Directory
För att stödja autentisering och auktorisering för Azure Information Protection måste du ha en Azure Active Directory (AD). Om du vill använda användarkonton från din lokala katalog (AD DS) måste du också konfigurera katalogintegrering.
Enkel inloggning (SSO) stöds för Azure Information Protection så att användarna inte upprepade gånger uppmanas att ange sina autentiseringsuppgifter. Om du använder en annan leverantörslösning för federation kontrollerar du med leverantören hur du konfigurerar den för Azure AD. WS-Trust är ett vanligt krav för att dessa lösningar ska ha stöd för enkel inloggning.
Multifaktorautentisering (MFA) stöds med Azure Information Protection när du har den klientprogramvara som krävs och har konfigurerat den MFA-stödjande infrastrukturen korrekt.
Villkorlig åtkomst stöds i förhandsversionen för dokument som skyddas av Azure Information Protection. Mer information finns i: Jag ser Att Azure Information Protection visas som en tillgänglig molnapp för villkorlig åtkomst – hur fungerar detta?
Ytterligare krav krävs för specifika scenarier, till exempel när du använder certifikatbaserad eller multifaktorautentisering eller när UPN-värden inte matchar användarens e-postadresser.
Mer information finns i:
- Ytterligare Azure AD krav för Azure Information Protection.
- Vad är Azure AD-katalogen?
- Integrera lokala Active Directory-domäner med Azure Active Directory.
Klientenheter
Användardatorer eller mobila enheter måste köras på ett operativsystem som stöder Azure Information Protection.
- Operativsystem som stöds för klientenheter
- ARM64
- Virtuella datorer
- Serverstöd
- Ytterligare krav per klient
Operativsystem som stöds för klientenheter
Azure Information Protection-klienter för Windows stöds är följande operativsystem:
Windows 11
Windows 10 (x86, x64). Handskrift stöds inte i Windows 10 RS4-versionen och senare.
Windows 8.1 (x86, x64)
Windows 8 (x86, x64)
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2 och Windows Server 2012
Mer information om support i tidigare versioner av Windows finns i ditt Microsoft-konto eller supportrepresentant.
Anteckning
När Azure Information Protection-klienter skyddar data med hjälp av Azure Rights Management-tjänsten kan data användas av samma enheter som stöder Azure Rights Management-tjänsten.
ARM64
ARM64 stöds inte för närvarande.
Virtuella datorer
Om du arbetar med virtuella datorer kontrollerar du om programvaruleverantören för din virtuella skrivbordslösning behöver ytterligare konfigurationer för att köra Azure Information Protection enhetlig etikettering eller Azure Information Protection-klienten.
För Citrix-lösningar kan du till exempel behöva inaktivera Citrix API-krokar (Application Programming Interface) för Office, Azure Information Protection enhetlig etiketteringsklient eller Azure Information Protection-klienten.
Dessa program använder följande filer: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe
Serverstöd
För var och en av de serverversioner som anges ovan stöds Azure Information Protection-klienter för Fjärrskrivbordstjänster.
Om du tar bort användarprofiler när du använder Azure Information Protection-klienter med Fjärrskrivbordstjänster ska du inte ta bort mappen %Appdata%\Microsoft\Protect.
Dessutom stöds inte Server Core och Nano Server.
Ytterligare krav per klient
Varje Azure Information Protection-klient har ytterligare krav. Mer information finns i:
Program
Azure Information Protection-klienter kan märka och skydda dokument och e-postmeddelanden med hjälp av Microsoft Word, Excel, PowerPoint och Outlook från någon av följande Office-utgåvor:
Office-appar, för de versioner som anges i tabellen med versioner som stöds för Microsoft 365-applikationer per uppdateringskanal, från Microsoft 365-applikationer för företag eller Microsoft 365 Business Premium , när användaren har tilldelats en licens för Azure Rights Management (även kallat Azure Information Protection för Office 365)
Microsoft 365-applikationer för företag
Office Professional Plus 2021
Office Professional Plus 2019
Office Professional Plus 2016 – Observera att eftersom Office 2016 inte har mainstream-support kommer AIP-supporten att utföras på grundval av bästa arbete och inga korrigeringar kommer att göras för problem som upptäckts i version 2016. se Microsoft Office 2016
Office Professional Plus 2013 med Service Pack 1
Andra Office-versioner kan inte skydda dokument och e-postmeddelanden med hjälp av Rights Management-tjänsten. För dessa utgåvor stöds Azure Information Protection endast för klassificering och etiketter som tillämpar skydd visas inte för användare.
Etiketter visas i ett fält som visas överst i Office-dokumentet, som är tillgängligt från knappen Känslighet i klienten för enhetlig etikettering.
Mer information finns i Program som stöder Azure Rights Management-dataskydd.
Office-funktioner stöds inte
Azure Information Protection-klienter för Windows stöder inte flera versioner av Office på samma dator eller växlar användarkonton i Office.
Funktionen koppla Office-dokument stöds inte med någon Azure Information Protection-funktion.
Brandväggar och nätverksinfrastruktur
Om du har brandväggar eller liknande mellanliggande nätverksenheter som är konfigurerade för att tillåta specifika anslutningar visas kraven för nätverksanslutning i den här Office-artikeln: Microsoft 365 Common och Office Online.
Azure Information Protection har följande ytterligare krav:
Klient för enhetlig etikettering. Om du vill ladda ned etiketter och etikettprinciper tillåter du följande URL via HTTPS: *.protection.outlook.com
Webbproxyservrar. Om du använder en webbproxy som kräver autentisering måste du konfigurera proxyn så att den använder integrerad Windows-autentisering med användarens Inloggningsuppgifter för Active Directory.
Om du vill ha stöd för Proxy.pac-filer när du använder en proxy för att hämta en token lägger du till följande nya registernyckel:
- Sökväg:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ - Nyckel:
UseDefaultCredentialsInProxy - Typ:
DWORD - Värde:
1
- Sökväg:
TLS-klient-till-tjänst-anslutningar. Avsluta inte några TLS-klient-till-tjänst-anslutningar, till exempel för att utföra inspektion på paketnivå, till aadrm.com URL. Då bryts certifikatkopplingen som RMS-klienterna använder med Microsoft-hanterade certifikatutfärdare för att hjälpa till att säkra kommunikationen med Azure Rights Management-tjänsten.
Använd följande PowerShell-kommandon för att avgöra om klientanslutningen avslutas innan den når Azure Rights Management-tjänsten:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerResultatet bör visa att den utfärdande certifikatutfärdare kommer från en Microsoft CA, till exempel:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Om du ser ett utfärdande CA-namn som inte kommer från Microsoft är det troligt att din säkra klient-till-tjänst-anslutning avslutas och behöver konfigureras om i brandväggen.
TLS version 1.2 eller senare (endast enhetlig etiketteringsklient). Den enhetliga etiketteringsklienten kräver en TLS-version av 1.2 eller senare för att säkerställa användningen av kryptografiskt säkra protokoll och anpassa sig till Microsofts säkerhetsriktlinjer.
Microsoft 365 Enhanced Configuration Service (ECS). AIP måste ha åtkomst till config.edge.skype.com URL, som är en Microsoft 365 Enhanced Configuration Service (ECS).
ECS ger Microsoft möjlighet att konfigurera om AIP-installationer utan att du behöver distribuera om AIP. Den används för att styra den gradvisa distributionen av funktioner eller uppdateringar, medan effekten av distributionen övervakas från diagnostikdata som samlas in.
ECS används också för att åtgärda säkerhets- eller prestandaproblem med en funktion eller uppdatering. ECS stöder även konfigurationsändringar relaterade till diagnostikdata för att säkerställa att lämpliga händelser samlas in.
Att begränsa config.edge.skype.com URL kan påverka Microsofts möjlighet att åtgärda fel och kan påverka din möjlighet att testa förhandsgranskningsfunktioner.
Mer information finns i Viktiga tjänster för Office – Distribuera Office.
Granska url-nätverksanslutningen för granskningsloggning. AIP måste kunna komma åt följande URL:er för att stödja AIP-granskningsloggar:
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(Endast Android-enhetsdata)
Mer information finns i Krav för AIP-rapportering.
Samexistens för AD RMS med Azure RMS
Användning av AD RMS och Azure RMS sida vid sida, i samma organisation, för att skydda innehåll av samma användare i samma organisation, stöds endast i AD RMS for HYOK-skydd (håll din egen nyckel) med Azure Information Protection.
Det här scenariot stöds inte under migreringen. Migreringsvägar som stöds är:
Tips
Om du distribuerar Azure Information Protection och sedan beslutar dig för att inte längre använda den här molntjänsten läser du Ställa av och inaktivera Azure Information Protection.
För andra scenarier som inte är migreringsscenarier, där båda tjänsterna är aktiva i samma organisation, måste båda tjänsterna konfigureras så att endast en av dem tillåter en viss användare att skydda innehåll. Konfigurera sådana scenarier på följande sätt:
Använda omdirigeringar för en AD RMS till Azure RMS-migrering
Om båda tjänsterna måste vara aktiva för olika användare samtidigt använder du konfigurationer på tjänstsidan för att framtvinga exklusivitet. Använd Azure RMS-registreringskontrollerna i molntjänsten och en ACL på publicerings-URL:en för att ange skrivskyddat läge för AD RMS.
Tjänsttaggar
Om du använder en Azure-slutpunkt och en NSG ser du till att tillåta åtkomst till alla portar för följande tjänsttaggar:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
I det här fallet beror dessutom Azure Information Protection-tjänsten också på följande IP-adresser och port:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Port 443 för HTTPS-trafik
Se till att skapa regler som tillåter utgående åtkomst till dessa specifika IP-adresser och via den här porten.
Lokala servrar som stöds för Azure Rights Management-dataskydd
Följande lokala servrar stöds med Azure Information Protection när du använder Microsoft Rights Management-anslutningsappen.
Den här anslutningsappen fungerar som ett kommunikationsgränssnitt och vidarebefordrar mellan lokala servrar och Azure Rights Management-tjänsten, som används av Azure Information Protection för att skydda Office-dokument och e-postmeddelanden.
Om du vill använda den här anslutningstjänsten måste du konfigurera katalogsynkronisering mellan dina Active Directory-skogar och Azure Active Directory.
Servrar som stöds är:
| Servertyp | Versioner som stöds |
|---|---|
| Exchange Server | - Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013 |
| Office SharePoint Server | – Office SharePoint Server 2019 – Office SharePoint Server 2016 – Office SharePoint Server 2013 |
| Filservrar som kör Windows Server och använder FCI (File Classification Infrastructure) | - Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012 |
Mer information finns i Distribuera Microsoft Rights Management-anslutningsappen.
Operativsystem som stöds för Azure Rights Management
Följande operativsystem stöder Azure Rights Management-tjänsten, som tillhandahåller dataskydd för AIP:
| Operativsystem | Versioner som stöds |
|---|---|
| Windows-datorer | - Windows 8 (x86, x64) - Windows 8.1 (x86, x64) - Windows 10 (x86, x64) |
| macOS | Lägsta version av macOS 10.8 (Mountain Lion) |
| Android-telefoner och surfplattor | Lägsta version av Android 6.0 |
| iPhone och iPad | Lägsta version av iOS 11.0 |
| Windows-telefoner och surfplattor | Windows 10 Mobil |
Mer information finns i Program som stöder Azure Rights Management-dataskydd.
Nästa steg
När du har granskat alla AIP-krav och bekräftat att systemet uppfyller kraven fortsätter du med Förbereda användare och grupper för Azure Information Protection.