Azure 信息保护要求

备注

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

Azure 信息保护统一标记客户端目前处于维护模式。 建议使用 Office 365 应用和服务中内置的标签。 了解详细信息

在部署 Azure 信息保护之前,请确保系统满足以下先决条件:

若要部署 Azure 信息保护,必须在要使用 AIP 功能的计算机上安装 AIP 客户端。 有关详细信息,请参阅为用户安装 Azure 信息保护统一标签客户端Azure 信息保护的客户端

Azure 信息保护订阅

你必须有 Azure 信息保护计划,用于使用 Azure 信息保护扫描程序或客户端进行分类、标记和保护。 有关详细信息,请参阅:

如果问题没有得到解答,请与 Microsoft 客户经理或 Microsoft 支持部门联系。

Azure Active Directory

为了支持 Azure 信息保护的身份验证和授权,必须有 Azure Active Directory (AD)。 若要使用本地目录 (AD DS) 中的用户帐户,还必须配置目录集成。

  • Azure 信息保护支持单一登录 (SSO),这样就不会反复提示用户输入凭据。 如果使用其他供应商解决方案进行联合身份验证,请与相应供应商确认如何为它配置 Azure AD。 WS-Trust 是这些解决方案支持单一登录所需满足的常见要求。

  • 多重身份验证 (MFA) 可以与 Azure 信息保护配合使用,前提是你拥有所需的客户端软件,并正确配置了支持 MFA 的基础结构。

预览版支持按条件访问受 Azure 信息保护进行保护的文档。 有关详情,请参阅:我看到 Azure 信息保护被列为可用于条件访问的云应用 - 工作原理是什么?

对于特定方案(如当使用基于证书的身份验证或多重身份验证时,或当 UPN 值与用户电子邮件地址不一致时),还需要满足额外的先决条件。

有关详细信息,请参阅:

客户端设备

用户计算机或移动设备必须在支持 Azure 信息保护的操作系统上运行。

客户端设备支持的操作系统

以下操作系统支持适用于 Windows 的 Azure 信息保护客户端:

  • Windows 11

  • Windows 10(x86 和 x64)。 Windows 10 RS4 内部版本及更高版本中不支持手写。

  • Windows 8.1 (x86, x64)

  • Windows 8 (x86, x64)

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 和 Windows Server 2012

若要详细了解旧版 Windows 中的支持,请联系 Microsoft 帐户或支持代表。

注意

如果 Azure 信息保护客户端使用 Azure Rights Management 服务来保护数据,那么数据可以被支持 Azure Rights Management 服务的相同设备使用。

ARM64

暂不支持 ARM64。

虚拟机

如果使用的是虚拟机,请检查虚拟桌面解决方案的软件供应商是否作为运行 Azure 信息保护统一标记客户端或 Azure 信息保护客户端所需的额外配置。

例如,对于 Citrix 解决方案,你可能需要对 Office、Azure 信息保护统一标记客户端或 Azure 信息保护客户端禁用 Citrix 应用程序编程接口 (API) 挂钩

这些应用程序分别使用以下文件:winword.exe、excel.exe、outlook.exe、powerpnt.exe、msip.app.exe、msip.viewer.exe

服务器支持

对于上面列出的每个服务器版本,Azure 信息保护客户端都可以与远程桌面服务配合使用。

如果在将 Azure 信息保护客户端与远程桌面服务配合使用时删除了用户配置文件,请勿删除 %Appdata%\Microsoft\Protect 文件夹。

此外,不支持服务器核心和 Nano Server。

每个客户端的额外要求

每个 Azure 信息保护客户端都有额外要求。 有关详细信息,请参阅:

应用程序

Azure 信息保护客户端可使用以下任意 Office 版本中的 Microsoft Word、Excel、PowerPoint 和 Outlook 对文档和电子邮件进行标记和保护:

  • Office 应用,对于各更新通道中受支持的 Microsoft 365 应用版本表中列出的版本,从 Microsoft 365 商业应用版或 Microsoft 365 商业高级版,前提是已为用户分配了 Azure Rights Management(亦称为“适用于 Microsoft 365 的 Azure 信息保护”)许可证

  • Microsoft 365 企业应用版

  • Office 专业增强版 2021

  • Office 专业增强版 2019

  • Office 专业增强版 2016 - 请注意,由于 Office 2016 不是主流支持,AIP 支持将基于尽力完成,并且不会对版本 2016 中发现的问题执行任何修复。 请参阅 Microsoft Office 2016

  • Office 专业增强版 2013 Service Pack 1

Office 的其他版本无法通过使用 Rights Management 服务保护文档和电子邮件。 对于这些版本,只支持使用 Azure 信息保护进行分类,不会向用户显示应用保护的标签。

标签显示在 Office 文档顶部显示的某个栏中,可通过统一标记客户端中的“敏感度”按钮进行访问。

有关详细信息,请参阅支持 Azure Rights Management 数据保护的应用程序

不支持的 Office 特性和功能

  • 适用于 Windows 的 Azure 信息保护客户端都不支持在同一台计算机上使用 Office 的多个版本,也不支持在 Office 中切换用户帐户。

  • Office 邮件合并功能无法与 Azure 信息保护功能配合使用。

防火墙和网络基础结构

如果你有防火墙或类似的中间网络设备并且它们配置为允许特定的连接,则以下 Office文章中列出了网络连接要求:Microsoft 365 Common 和 Office Online

Azure 信息保护有以下额外要求:

  • 统一标记客户端。 若要下载标签和标签策略,请允许通过 HTTPS 使用以下 URL:*.protection.outlook.com

  • Web 代理。 如果使用要求进行身份验证的 Web 代理,必须将代理配置为将集成 Windows 身份验证与用户的 Active Directory 登录凭据配合使用。

    要在使用代理获取令牌时支持 Proxy.pac 文件,请添加以下新的注册表项:

    • 路径:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • 键:UseDefaultCredentialsInProxy
    • 类型:DWORD
    • 1
  • TLS 客户端到服务连接。 不要终止与 aadrm.com URL 的任何 TLS 客户端到服务连接(例如,为了执行数据包级别检查)。 那样做会打破 RMS 客户端用于 Microsoft 托管 CA 的证书固定,导致无法确保其与 Azure Rights Management 服务的通信安全。

    若要确定客户端连接是否在到达 Azure Rights Management 服务之前就终止,请使用以下 PowerShell 命令:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    结果应显示发证 CA 来自 Microsoft CA(例如:CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US)。

    如果发现发证 CA 名称不是来自 Microsoft,那么很可能安全的客户端到服务连接要被终止,需要在防火墙上重新配置。

  • TLS 版本 1.2 或更高版本(仅限统一标记客户端)。 统一标记客户端需要 1.2 或更高版本的 TLS,以确保使用加密安全协议并遵循 Microsoft 安全准则。

  • Microsoft 365 增强型配置服务 (ECS)。 AIP 必须有权访问 config.edge.skype.com URL,它是一项 Microsoft 365 增强型配置服务 (ECS)。

    有了 ECS,你无需重新部署 AIP,Microsoft 就能重新配置 AIP 安装项。 它用于控制功能或更新的逐步推出,同时通过收集的诊断数据监视这些推出所带来的影响。

    ECS 还用于缓解功能或更新方面的安全或性能问题。 ECS 还支持与诊断数据相关的配置更改,帮助确保收集适当的事件。

    如果限制 config.edge.skype.com URL,可能会影响 Microsoft 缓解错误的能力以及你测试预览功能的能力。

    有关详细信息,请查看 Office 的基本服务 - 部署 Office

  • 审核日志记录 URL 网络连接。 AIP 必须能够访问以下 URL,以便支持 AIP 审核日志:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com(仅限 Android 设备数据)

    有关详细信息,请参阅 AIP 报告的先决条件

AD RMS 和 Azure RMS 共存

仅在用于 HYOK(自留密钥)保护(含 Azure 信息保护)的 AD RMS 中支持在同一组织中并行使用 AD RMS 和 Azure RMS,以保护同一组织中的同一用户的内容。

迁移期间不支持此方案。 支持的迁移路径包括:

提示

如果你部署 Azure 信息保护,然后决定不再想要使用此云服务,请参阅解除 Azure 信息保护授权和停用 Azure 信息保护

对于其他非迁移方案,即两个服务在同一组织中都是活动的,必须对两个服务进行配置,以便只有一个服务允许任何给定的用户保护内容。 按照以下方式配置此类方案:

  • 从 AD RMS 迁移到 Azure RMS 使用重定向

  • 如果两个服务必须同时针对不同的用户处于活动状态,请使用服务端配置来强制实现排他性。 使用云服务中的 Azure RMS 加入控件和发布 URL 上的 ACL 为 AD RMS 设置只读模式。

服务标记

如果使用的是 Azure 终结点和 NSG,请务必允许访问以下服务标记的所有端口:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

此外,在这种情况下,Azure 信息保护服务还依赖于以下 IP 地址和端口:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • 端口 443(对于 HTTPS 流量)

请务必创建规则来允许对这些特定 IP 地址进行出站访问,以及通过此端口进行访问。

支持 Azure Rights Management 数据保护的本地服务器

当你使用 Microsoft Rights Management 连接器时,以下本地服务器可以与 Azure 信息保护配合使用。

此连接器充当通信接口,并在本地服务器和 Azure Rights Management 服务之间中继,Azure 信息保护使用此服务来保护 Office 文档和电子邮件。

若要使用该连接器,必须配置 Active Directory 林和 Azure Active Directory 之间的目录同步。

支持的服务器包括:

服务器类型 支持的版本
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
运行 Windows Server 和使用文件分类基础结构 (FCI) 的文件服务器 - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

有关详细信息,请参阅部署 Microsoft Rights Management 连接器

支持 Azure Rights Management 的操作系统

以下操作系统支持为 AIP 提供数据保护的 Azure Rights Management 服务:

OS 支持的版本
Windows 计算机 - Windows 8 (x86, x64)
- Windows 8.1 (x86, x64)
- Windows 10 (x86, x64)
macOS 最低版本为 macOS 10.8 (Mountain Lion)
Android 手机和平板电脑 最低版本为 Android 6.0
iPhone 和 iPad 最低版本为 iOS 11.0
Windows 手机和平板电脑 Windows 10 移动版

有关详细信息,请参阅支持 Azure Rights Management 数据保护的应用程序

后续步骤

在审阅了所有的 AIP 要求并确认系统符合要求后,继续阅读准备用户和组以供 Azure 信息保护使用