開始使用 Microsoft Purview 資訊保護中的 Azure Rights Management 服務加密專案之前,請確定您符合所有需求。
防火牆和網路基礎設施
如果您有設定為允許特定連線的防火牆或類似的介入網路裝置,則下列 Microsoft 365 文章會列出網路連線需求: Microsoft 365 Common 和 Office Online。
Azure Rights Management 服務有下列其他需求:
如果您使用 Microsoft Purview 資訊保護 用戶端:若要下載敏感度標籤和標籤原則,請透過 HTTPS 允許下列 URL:*.protection.outlook.com
如果您使用 Web Proxy:如果您的 Web Proxy 需要驗證,您必須將 Proxy 設定為使用整合式 Windows 驗證搭配使用者的 Active Directory 登入認證。
若要在使用 Proxy 取得權杖時支援 Proxy.pac 檔案,請新增下列新的登錄機碼:
-
路徑:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ -
機碼:
UseDefaultCredentialsInProxy -
類型:
DWORD -
價值:
1
-
路徑:
TLS 用戶端對服務連線。 請勿終止任何 TLS 用戶端對服務連線,例如執行封包層級檢查,以執行 aadrm.com URL 的連線。 這樣做會中斷 Azure Rights Management 服務的用戶端與 Microsoft 管理的憑證授權單位 () CA 搭配使用的憑證釘選,以協助保護其與 Azure Rights Management 服務的通訊。
若要判斷您的用戶端連線是否在到達 Azure Rights Management 服務之前終止,請使用下列 PowerShell 命令:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer結果應該顯示發行 CA 來自 Microsoft CA,例如:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US。如果您看到不是來自 Microsoft 的發行 CA 名稱,則您的安全用戶端對服務連線可能已終止,而且需要在防火牆上重新設定。
Microsoft 365 增強型配置服務 (ECS) 。 Azure Rights Management 服務必須能夠存取 config.edge.skype.com URL,這是 Microsoft 365 增強型組態服務 (ECS) 。
ECS 讓 Microsoft 能夠在必要時重新設定 Azure Rights Management 服務。 例如,ECS 用於控制功能或更新的逐步推出,而推出的影響則從收集的診斷資料中監控。
ECS 也用於緩解功能或更新的安全性或效能問題。 ECS 也支援與診斷資料相關的組態變更,以協助確保收集適當的事件。
限制 config.edge.skype.com URL 可能會影響 Microsoft 減少錯誤的能力,並可能影響您測試預覽功能的能力。
如需詳細資訊,請參閱 Office 的基本服務。
稽核記錄 URL 網路連線。 Azure Rights Management 服務必須能夠存取下列 URL,以支援稽核記錄:
https://*.events.data.microsoft.com-
https://*.aria.microsoft.com(Android 裝置資料僅)
與 Active Directory Rights Management 服務共存 (AD RMS)
除非您使用 HYOK (保留自己的金鑰) AD RMS 根加密金鑰的設定,否則在同一組織中並存使用內部部署版本的 Active Directory Rights Management 服務 (AD RM) S 和 Azure Rights Management 服務,以加密相同組織中相同使用者的內容。
移轉至 Azure Rights Management 服務不支援此案例。 支援的移轉路徑包括:
對於其他非移轉案例,其中兩個服務都在同一組織中作用中,則必須設定這兩個服務,以便只有其中一個服務允許任何指定的使用者加密內容。 設定此類場景如下:
使用重新導向進行 AD RMS 至 Azure Rights Management 移轉。
如果這兩個服務必須同時對不同的使用者處於作用中狀態,請使用服務端設定來強制執行獨佔性。 使用 Azure Rights Management 服務的 上線控制項 ,以及發佈 URL 上的 ACL,來設定 AD RMS 的 唯讀 模式。
Azure 網路安全性群組和服務標籤
如果您使用 Azure 端點和 Azure 網路安全性群組 (NSG) ,請務必允許存取下列服務標籤的所有埠:
- Azure資訊保護
- AzureActiveDirectory
- AzureFrontDoor.Frontend
此外,在此情況下,Azure Rights Management 服務也相依於下列 IP 位址和埠:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- 連接埠 443,用於 HTTPS 流量
請務必建立規則,以允許透過此埠存取這些特定 IP 位址的輸出存取。
Azure Rights Management 服務支援的內部部署伺服器
當您使用 Microsoft Rights Management 連接器時,Azure Rights Management 服務支援下列內部部署伺服器:
- Exchange Server
- SharePoint Server
- 執行Windows Server並使用「檔案分類基礎架構」 (FCI) 的檔案伺服器
如需連接器的支援版本、其他需求和設定步驟,請參閱 部署 Microsoft Rights Management 連接器。
支援的作業系統
下列作業系統原生支援 Azure Rights Management 服務。 不過,如果您安裝使用 Azure Rights Management 服務的應用程式,例如 Microsoft 365 企業版應用程式或 Microsoft Purview 資訊保護用戶端,請檢查該應用程式對支援作業系統的需求。
| 作業系統 | 支援的版本 |
|---|---|
| Windows 電腦 | - Windows 10 (x86、x64) - Windows 11 (x86、x64) |
| macOS | macOS 10.8 (Mountain Lion) 的最低版本 |
| Android 手機和平板電腦 | Android 6.0 的最低版本 |
| iPhone 和 iPad | iOS 11.0 的最低版本 |
| Windows 手機和平板電腦 | Windows 10 行動裝置版 |
Microsoft Entra 需求
Microsoft Entra 目錄是使用 Azure Rights Management 服務的需求。 使用 Microsoft Entra 目錄中的帳戶登入 Microsoft Purview 入口網站。
如果您有包含 Microsoft Purview 資訊保護 的訂用帳戶,則會視需要自動為您建立 Microsoft Entra 目錄。
下列各節列出特定案例的其他 Microsoft Entra 需求。
支援憑證型驗證 (CBA)
當 iOS 和 Android 應用程式支援 Azure Rights Management 服務時,它們會支援憑證型驗證。
如需詳細資訊,請參閱 開始使用具有同盟的 Microsoft Entra ID 中的憑證型驗證。
多重要素驗證 (MFA)
若要搭配 Azure Rights Management 服務使用多重要素驗證 (MFA) ,您必須至少安裝下列其中一項:
Microsoft 管理的租用戶,具有 Microsoft Entra ID 或 Microsoft 365。 設定 Azure MFA 以強制執行使用者的 MFA。
如需詳細資訊,請參閱:
同盟租用戶,其中同盟伺服器在內部部署運作。 設定 Microsoft Entra ID 或 Microsoft 365 的同盟伺服器。 例如,如果您使用 Active Directory 同盟服務 (AD FS) ,請參閱設定 AD FS 的其他驗證方法。
Rights Management 連接器和 MFA
Rights Management 連接器和 Microsoft Purview 資訊保護 掃描器不支援 MFA。
如果您部署連接器或掃描器,下列帳戶不得需要 MFA:
- 安裝和設定連接器的帳戶。
- 連接器建立的 Microsoft Entra ID Aadrm_S-1-7-0 中的服務主體帳戶。
- 執行掃描器的服務帳戶。
使用者 UPN 值不符合其電子郵件地址
使用者的 UPN 值不符合其電子郵件地址的設定不是建議的設定,而且不支援 Azure Rights Management 服務的單一登入。
如果您無法變更 UPN 值,請為相關使用者設定替代識別碼,並指示他們如何使用此替代識別碼登入其 Office 應用程式。
如需詳細資訊,請參閱 設定替代登入 ID。
提示
如果 UPN 值中的網域名稱是已針對租用戶驗證的網域,請將使用者的 UPN 值新增為另一個電子郵件地址,以新增至 Microsoft Entra ID proxyAddresses 屬性。 這可讓使用者在授與使用權限時指定其 UPN 值,則可以授權使用者使用 Azure Rights Management 服務。
如需詳細資訊,請參閱 瞭解使用者帳戶和群組如何使用 Azure Rights Management 服務。
使用另一個驗證提供者在內部部署進行驗證
如果您使用的行動裝置或 Mac 電腦會使用非 Microsoft 驗證提供者進行內部部署驗證,則必須支援 OAuth 2.0 通訊協定。
Entra ID 的進階組態
如需 Entra 中可防止或允許存取 Azure Rights Management 服務的相依設定,請參閱加密內容的 Microsoft Entra 設定。