Azure Rights Management 服务的要求

在使用 Microsoft Purview 信息保护 中的 Azure Rights Management 服务开始加密项之前，请确保满足所有要求。

防火墙和网络基础结构

如果你有配置为允许特定连接的防火墙或类似的中间网络设备，则以下Microsoft 365 文章中列出了网络连接要求： Microsoft 365 Common 和 Office Online。

Azure Rights Management 服务具有以下附加要求：

• 如果使用 Microsoft Purview 信息保护 客户端：若要下载敏感度标签和标签策略，请通过 HTTPS 允许以下 URL：*.protection.outlook.com

• 如果使用 Web 代理：如果 Web 代理需要身份验证，则必须将代理配置为将集成Windows 身份验证与用户的 Active Directory 登录凭据一起使用。

  若要在使用代理获取令牌时支持 Proxy.pac 文件，请添加以下新注册表项：

  • 路径： Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
  • 项：UseDefaultCredentialsInProxy
  • 类型： DWORD
  • 值： 1

• TLS 客户端到服务连接。 不要终止与 aadrm.com URL 的任何 TLS 客户端到服务连接，例如执行数据包级检查。 这样做会破坏 Azure Rights Management 服务的客户端与Microsoft管理的证书颁发机构一起使用的证书固定， (CA) 来帮助保护其与 Azure Rights Management 服务的通信。

  若要确定客户端连接在到达 Azure Rights Management 服务之前是否终止，请使用以下 PowerShell 命令：

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  结果应显示颁发 CA 来自Microsoft CA，例如： CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US。

  如果看到颁发 CA 名称不是来自Microsoft，则可能是安全客户端到服务连接正在终止，需要在防火墙上重新配置。

• Microsoft 365 增强配置服务 (ECS) 。 Azure Rights Management 服务必须有权访问 config.edge.skype.com URL，该 URL 是MICROSOFT 365 增强型配置服务 (ECS) 。

  ECS 提供Microsoft在必要时重新配置 Azure Rights Management 服务的功能。 例如，ECS 用于控制功能或更新的逐步推出，而从收集的诊断数据监视推出的影响。

  ECS 还用于缓解功能或更新的安全或性能问题。 ECS 还支持与诊断数据相关的配置更改，以帮助确保收集适当的事件。

  限制 config.edge.skype.com URL 可能会影响Microsoft缓解错误的能力，并可能影响测试预览功能的能力。

  有关详细信息，请参阅 Office 的基本服务。

• 审核日志记录 URL 网络连接。 Azure Rights Management 服务必须能够访问以下 URL 以支持审核日志：

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com 仅) (Android 设备数据

与 Active Directory Rights Management Services (AD RMS) 共存

除非使用 HYOK ( (保存自己的密钥) AD RMS) 配置 AD RMS) 且在同一组织中同时使用本地版本的 Active Directory Rights Management Services 来加密同一组织中的同一用户的内容。

迁移到 Azure Rights Management Service 不支持此方案。 支持的迁移路径包括：

• 从 AD RMS 到 Azure Rights Management 服务
• 从 Azure Rights Management 服务到 AD RMS

对于其他非迁移方案，其中两个服务在同一组织中处于活动状态，必须配置这两个服务，以便只有其中一个服务允许任何给定用户加密内容。 按如下所示配置此类方案：

• 使用重定向将 AD RMS 迁移到 Azure Rights Management。

• 如果两个服务必须同时对不同的用户处于活动状态，请使用服务端配置来强制实施排他性。 使用 Azure Rights Management 服务中的 载入控件 和发布 URL 上的 ACL 为 AD RMS 设置 只读 模式。

Azure 网络安全组和服务标记

如果使用 Azure 终结点和 Azure 网络安全组 (NSG) ，请确保允许访问以下服务标记的所有端口：

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

此外，在这种情况下，Azure Rights Management 服务还依赖于以下 IP 地址和端口：

• 13.107.9.198
• 13.107.6.198
• 2620：1ec：4：：198
• 2620：1ec：a92：：198
• 13.107.6.181
• 13.107.9.181
• 端口 443，用于 HTTPS 流量

请确保创建允许通过此端口出站访问这些特定 IP 地址的规则。

Azure Rights Management 服务支持的本地服务器

使用 Microsoft Rights Management 连接器时，Azure Rights Management 服务支持以下本地服务器：

• Exchange Server
• SharePoint Server
• 运行Windows Server并使用文件分类基础结构 (FCI) 的文件服务器

有关连接器支持的版本、其他要求和配置步骤，请参阅 部署 Microsoft Rights Management 连接器。

支持的操作系统

以下作系统本机支持 Azure Rights Management 服务。 但是，如果安装使用 Azure Rights Management 服务的应用（例如Microsoft 365 企业版应用或Microsoft Purview 信息保护客户端），检查该应用对支持的作系统的要求。

操作系统	支持的版本
Windows 计算机	- Windows 10 (x86、x64) - Windows 11 (x86、x64)
macOS	macOS 10.8 (Mountain Lion) 的最低版本
Android 手机和平板电脑	Android 6.0 的最低版本
iPhone 和 iPad	iOS 11.0 的最低版本
Windows 手机和平板电脑	Windows 10 移动版

Microsoft Entra要求

Microsoft Entra目录是使用 Azure Rights Management 服务的要求。 使用 Microsoft Entra 目录中的帐户登录到 Microsoft Purview 门户。

如果订阅包含Microsoft Purview 信息保护，则会根据需要自动创建Microsoft Entra目录。

以下部分列出了特定方案的其他Microsoft Entra要求。

支持基于证书的身份验证 (CBA)

当 iOS 和 Android 应用支持 Azure Rights Management 服务时，它们支持基于证书的身份验证。

有关详细信息，请参阅使用联合身份验证Microsoft Entra ID 中的基于证书的身份验证入门。

多重身份验证 (MFA)

若要将多重身份验证 (MFA) 与 Azure Rights Management 服务配合使用，必须至少安装以下其中一项：

• Microsoft托管租户，Microsoft Entra ID 或 Microsoft 365。 配置 Azure MFA 以对用户强制实施 MFA。

  有关更多信息，请参阅：

  • 规划Microsoft Entra多重身份验证部署
  • 工作原理：Microsoft Entra多重身份验证

• 联合租户，联合服务器在本地运行。 为 Microsoft Entra ID 或 Microsoft 365 配置联合服务器。 例如，如果使用 Active Directory 联合身份验证服务 (AD FS) ，请参阅配置 AD FS 的其他身份验证方法。

Rights Management 连接器和 MFA

Rights Management 连接器和Microsoft Purview 信息保护扫描程序不支持 MFA。

如果部署连接器或扫描程序，则以下帐户不得要求进行 MFA：

• 安装和配置连接器的帐户。
• 连接器创建的Microsoft Entra ID Aadrm_S-1-7-0 中的服务主体帐户。
• 运行扫描程序的服务帐户。

用户 UPN 值与其电子邮件地址不匹配

用户 UPN 值与其电子邮件地址不匹配的配置不是建议的配置，并且不支持 Azure Rights Management 服务的单一登录。

如果无法更改 UPN 值，请为相关用户配置备用 ID，并指导他们如何使用此备用 ID 登录到其 Office 应用。

有关详细信息，请参阅 配置备用登录 ID。

提示

如果 UPN 值中的域名是为租户验证的域，请将用户的 UPN 值作为另一个电子邮件地址添加到 Microsoft Entra ID proxyAddresses 属性。 这允许在授予使用权限时指定其 UPN 值的用户获得 Azure Rights Management 服务的授权。

有关详细信息，请参阅 了解用户帐户和组如何使用 Azure Rights Management 服务。

使用其他身份验证提供程序在本地进行身份验证

如果使用使用非Microsoft身份验证提供程序在本地进行身份验证的移动设备或 Mac 计算机，则它必须支持 OAuth 2.0 协议。

Entra ID的高级配置

有关 Entra 中可以阻止或允许访问 Azure Rights Management 服务的依赖配置，请参阅加密内容的Microsoft Entra配置。