Azure Information Protection gereksinimleri
Not
Eski adı Microsoft Information Protection (MIP) olan Microsoft Purview Bilgi Koruması mi arıyorsunuz?
Azure Information Protection eklentisi kullanımdan kaldırılır ve microsoft 365 uygulama ve hizmetlerinizde yerleşik olarak bulunan etiketlerle değiştirilir. Diğer Azure Information Protection bileşenlerinin destek durumu hakkında daha fazla bilgi edinin.
Microsoft Purview Bilgi Koruması istemcisi (eklenti olmadan) genel olarak kullanılabilir.
Azure Information Protection'ı dağıtmadan önce sisteminizin aşağıdaki önkoşulları karşıladığından emin olun:
- Güvenlik duvarları ve ağ altyapısı altında listelenen tüm ağ önkoşullarına uyduğunuzu doğrulayın
Güvenlik duvarları ve ağ altyapısı altında listelenen tüm ağ önkoşullarına uyduğunuzu doğrulayın
Belirli bağlantılara izin verecek şekilde yapılandırılmış güvenlik duvarlarınız veya benzer araya gelen ağ cihazlarınız varsa, ağ bağlantısı gereksinimleri şu Office makalesinde listelenmiştir: Microsoft 365 Common ve Office Online.
Azure Information Protection aşağıdaki ek gereksinimlere sahiptir:
Microsoft Purview Informaiton Protection istemcisi. Etiketleri ve etiket ilkelerini indirmek için HTTPS üzerinden şu URL'ye izin verin: *.protection.outlook.com
Web proxy'leri. Kimlik doğrulaması gerektiren bir web ara sunucusu kullanıyorsanız, proxy'yi kullanıcının Active Directory oturum açma kimlik bilgileriyle tümleşik Windows kimlik doğrulamasını kullanacak şekilde yapılandırmanız gerekir.
Belirteç almak için ara sunucu kullanırken Proxy.pac dosyalarını desteklemek için aşağıdaki yeni kayıt defteri anahtarını ekleyin:
- Yol:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
- Anahtar:
UseDefaultCredentialsInProxy
- Tür:
DWORD
- Değer:
1
- Yol:
TLS istemciden hizmete bağlantılar. Aadrm.com URL'sine paket düzeyinde inceleme yapmak gibi tls istemciden hizmete bağlantıları sonlandırmayın. Bunu yapmanız halinde, RMS istemcilerinin Azure Rights Management hizmetiyle kurduğu iletişimin güvenliğini sağlamaya yardımcı olmak için Microsoft tarafından yönetilen sertifika yetkilileriyle kullandığı sertifika sabitleme işlemleri yarıda kesilmiş olur.
İstemci bağlantınızın Azure Rights Management hizmetine ulaşmadan önce sonlandırılıp sonlandırılmadığını belirlemek için aşağıdaki PowerShell komutlarını kullanın:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer
Sonuç, veren CA'nın bir Microsoft CA'dan geldiğini göstermelidir, örneğin:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
.Microsoft'tan olmayan bir sertifika yetkilisi adı görüyorsanız, büyük olasılıkla güvenli istemciden hizmete bağlantınız sonlandırılıyordur ve güvenlik duvarınızda yeniden yapılandırmanız gerekir.
TLS sürüm 1.2 veya üzeri (yalnızca birleşik etiketleme istemcisi). Birleşik etiketleme istemcisi, şifreleme açısından güvenli protokollerin kullanılmasını ve Microsoft güvenlik yönergeleriyle uyumlu olmasını sağlamak için 1.2 veya üzeri bir TLS sürümü gerektirir.
Microsoft 365 Gelişmiş Yapılandırma Hizmeti (ECS). AIP'nin microsoft 365 Gelişmiş Yapılandırma Hizmeti (ECS) olan config.edge.skype.com URL'sine erişimi olmalıdır.
ECS, Microsoft'a AIP yüklemelerini AIP'yi yeniden dağıtmanıza gerek kalmadan yeniden yapılandırma olanağı sağlar. Özelliklerin veya güncelleştirmelerin aşamalı dağıtımını denetlemek için kullanılırken, dağıtımın etkisi toplanan tanılama verilerinden izlenir.
ECS, bir özellik veya güncelleştirmeyle ilgili güvenlik veya performans sorunlarını azaltmak için de kullanılır. ECS, uygun olayların toplandığından emin olmak için tanılama verileriyle ilgili yapılandırma değişikliklerini de destekler.
config.edge.skype.com URL'sini sınırlamak Microsoft'un hataları azaltma becerisini ve önizleme özelliklerini test etme becerinizi etkileyebilir.
Daha fazla bilgi için bkz . Office için temel hizmetler - Office'i dağıtma.
Denetim günlüğü URL'si ağ bağlantısı. AIP denetim günlüklerini desteklemek için AIP'nin aşağıdaki URL'lere erişebilmesi gerekir:
https://*.events.data.microsoft.com
https://*.aria.microsoft.com
(Yalnızca Android cihaz verileri)
Daha fazla bilgi için bkz . AIP raporlama önkoşulları.
AD RMS'nin Azure RMS ile birlikte bulunma
Ad RMS ve Azure RMS'nin aynı kuruluşta yan yana kullanılması, aynı kuruluştaki aynı kullanıcının içeriğini korumak için yalnızca AZURE Information Protection ile HYOK için AD RMS (kendi anahtarınızı tutma) korumasında desteklenir.
Bu senaryo geçiş sırasında desteklenmez. Desteklenen geçiş yolları şunlardır:
İpucu
Azure Information Protection'ı dağıtıp bu bulut hizmetini artık kullanmak istemediğinize karar verirseniz bkz . Azure Information Protection'ın yetkisini alma ve devre dışı bırakma.
Her iki hizmetin de aynı kuruluşta etkin olduğu diğer geçiş dışı senaryolarda, her iki hizmetin de yalnızca birinin belirli bir kullanıcının içeriği korumasına izin vermesi için yapılandırılması gerekir. Bu tür senaryoları aşağıdaki gibi yapılandırın:
AD RMS'den Azure RMS'ye geçiş için yeniden yönlendirmeleri kullanma
Her iki hizmetin de aynı anda farklı kullanıcılar için etkin olması gerekiyorsa, münhasırlığı zorlamak için hizmet tarafı yapılandırmalarını kullanın. AD RMS için Salt Okunur modunu ayarlamak için bulut hizmetinde Azure RMS ekleme denetimlerini ve Yayımlama URL'sindeki bir ACL'yi kullanın.
Hizmet Etiketleri
Azure uç noktası ve NSG kullanıyorsanız, aşağıdaki Hizmet Etiketleri için tüm bağlantı noktalarına erişime izin verdiğinizden emin olun:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Ayrıca, bu durumda Azure Information Protection hizmeti de aşağıdaki IP adreslerine ve bağlantı noktasına bağlıdır:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- HTTPS trafiği için 443 numaralı bağlantı noktası
Bu belirli IP adreslerine ve bu bağlantı noktası aracılığıyla giden erişime izin veren kurallar oluşturduğunuzdan emin olun.
Azure Rights Management veri koruması için desteklenen şirket içi sunucular
Aşağıdaki şirket içi sunucular, Microsoft Rights Management bağlayıcısını kullandığınızda Azure Information Protection ile desteklenir.
Bu bağlayıcı bir iletişim arabirimi işlevi görür ve Şirket içi sunucular ile Office belgelerini ve e-postalarını korumak için Azure Information Protection tarafından kullanılan Azure Rights Management hizmeti arasında geçiş yapar.
Bu bağlayıcıyı kullanmak için Active Directory ormanlarınız ile Microsoft Entra Id arasında dizin eşitlemesini yapılandırmanız gerekir.
Desteklenen sunucular şunlardır:
Sunucu türü | Desteklenen sürümler |
---|---|
Exchange Server | - Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013 |
Office SharePoint Server | - Office SharePoint Server 2019 - Office SharePoint Server 2016 - Office SharePoint Server 2013 |
Windows Server çalıştıran ve Dosya Sınıflandırma Altyapısı (FCI) kullanan dosya sunucuları | - Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012 |
Daha fazla bilgi için bkz . Microsoft Rights Management bağlayıcısını dağıtma.
Azure Rights Management için desteklenen işletim sistemleri
Aşağıdaki işletim sistemleri, AIP için veri koruması sağlayan Azure Rights Management hizmetini destekler:
OS | Desteklenen sürümler |
---|---|
Windows bilgisayarları | - Windows 10 (x86, x64) - Windows 11 (x86, x64) |
macOS | en düşük macOS 10.8 sürümü (Mountain Lion) |
Android telefonlar ve tabletler | Android 6.0'ın en düşük sürümü |
i Telefon ve iPad | iOS 11.0'ın en düşük sürümü |
Windows telefonlar ve tabletler | Windows 10 Mobile |
Sonraki adımlar
Tüm AIP gereksinimlerini gözden geçirip sisteminizin uygun olduğunu onayladıktan sonra Kullanıcıları ve grupları Azure Information Protection için hazırlama bölümüne geçin.