Požadavky na Azure Information Protection

  • Článek
  • 9 min ke čtení

Platí pro:Azure Information Protection

Relevantní pro:AIP unified labeling client and AIP classic client.

Pokud máte Windows 7 nebo Office 2010, podívejte se na AIPa starší Windows a Office verze .

Poznámka:

Pro zajištění jednotného a efektivnějšího uživatelského prostředí je klasický klient Azure Information Protection a správa štítků na portálu Azure Portal zastaralé od 31. března 2021. Pro klasické klienty už není poskytována žádná další podpora a verze údržby už nebudou vydány.

Klasický klient bude oficiálně vyřazen a přestane fungovat 31. března 2022.

Všichni stávající zákazníci klasického klienta Azure Information Protection musí migrovat na Microsoft Information Protection jednotné platformy pro označování a upgradovat na klienta jednotného označování štítků. Další informace najdete v našem blogu o migraci.

Před nasazením Azure Information Protection se ujistěte, že váš systém splňuje následující předpoklady:

Pokud chcete nasadit Azure Information Protection, musíte mít klienta AIP nainstalovaného na všech počítačích, kde chcete používat funkce AIP. Další informace najdete v článku Instalace jednotného klienta pro označování štítků Azure Information Protection pro uživatele a Klientskástrana Azure Information Protection .

Předplatné Azure Information Protection

K klasifikaci, označování a ochraně pomocí skeneru nebo klienta Azure Information Protection musíte mít plán Azure Information Protection. Další informace najdete v těchto článku:

Pokud tam na vaši otázku neodpověděli, kontaktujte svého správce účtu Microsoft nebo podporu Microsoftu.

Azure Active Directory

Abyste podporovali ověřování a autorizaci pro Azure Information Protection, musíte mít Azure Active Directory (AD). Pokud chcete používat uživatelské účty z místního adresáře (služba AD DS), musíte taky nakonfigurovat integraci adresářů.

  • Jednotné přihlašování (SSO) je pro Azure Information Protection podporované, aby se uživatelům opakovaně nezepsaly přihlašovací údaje. Pokud pro federaci používáte jiné řešení dodavatele, podívejte se u tohoto dodavatele, jak ho nakonfigurovat pro Azure AD. WS-Trust je běžným požadavkem, aby tato řešení podporovala jednotné přihlašování.

  • Vícefaktorové ověřování (MFA) je v Azure Information Protection podporované, pokud máte požadovaný klientský software a správně jste nakonfigurovali infrastrukturu podporující MFA.

Podmíněný přístup je ve verzi Preview podporovaný u dokumentů chráněných službou Azure Information Protection. Další informace najdete v tématu: Vidím, že Azure Information Protection je uvedená jako dostupná cloudová aplikace pro podmíněný přístup – jak to funguje?

Pro konkrétní scénáře, například při použití ověřování založeného na certifikátech nebo vícefaktorového ověřování, nebo v případě, že hodnoty OUSO neodpovídají e-mailovým adresám uživatelů, jsou potřeba další předpoklady.

Další informace najdete v těchto článku:

Klientská zařízení

Uživatelské počítače nebo mobilní zařízení musí běžet v operačním systému, který podporuje Azure Information Protection.

Podporované operační systémy pro klientská zařízení

Klienti Azure Information Protection pro Windows jsou podporované následující operační systémy:

  • Windows 11

  • Windows 10 (x86, x64). V buildu RS4 a novějších verzích Windows 10 nepodporuje rukopis.

  • Windows 8.1 (x86, x64)

  • Windows 8 (x86, x64)

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 a Windows Server 2012

Podrobnosti o podpoře v dřívějších verzích Windows získáte od svého účtu Microsoft nebo zástupce podpory.

Poznámka:

Když klienti Azure Information Protection chrání data pomocí služby Azure Rights Management, mohou data využívat stejná zařízení, která podporují službu Azure Rights Management.

ARM64

Arm64 není momentálně podporovaný.

Virtuální počítače

Pokud pracujete s virtuálními počítači, zkontrolujte, jestli dodavatel softwaru pro vaše řešení virtuální plochy jako další konfigurace potřebné pro spuštění jednotného označování Azure Information Protection nebo klienta Azure Information Protection.

Například u řešení Citrix budete možná muset zakázat háčky rozhraní API (Citrix Application Programming Interface) pro Office, jednotného klienta pro označování pomocí azure information protection nebo klienta Azure Information Protection.

Tyto aplikace používají následující soubory: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Podpora serveru

U všech výše uvedených verzí serveru jsou klienti Azure Information Protection podporovaní pro Vzdálenou plochu.

Pokud při používání klientů Azure Information Protection se službou Vzdálená plocha odstraníte profily uživatelů, složku %Appdata%\Microsoft\Protect neodstraňovat.

Kromě toho nejsou podporované Základní server a Nano Server.

Další požadavky na klienta

Každý klient Azure Information Protection má další požadavky. Podrobnosti najdete v tématu:

Aplikace

Klienti Azure Information Protection mohou označovat a chránit dokumenty a e-maily pomocí aplikací Microsoft Word, Excel, PowerPoint a Outlookz následujících edicí Office:

  • Office aplikacípro verze uvedené v tabulce podporovaných verzí pro Microsoft 365 Appspodle aktualizačního kanálu , z Microsoft 365 Apps pro firmy nebo Microsoft 365 Business Premium , když je uživateli přiřazena licence pro Azure Rights Management (označované taky jako Azure Information Protection pro Office 365)

  • Microsoft 365 Apps pro Enterprise

  • Office Professional Plus 2019

  • Office Professional Plus 2016

  • Office Professional Plus 2013 s Service Pack 1

  • Office Professional Plus 2010 s Service Pack 2

Jiné edice Office ochranu dokumentů a e-mailů pomocí služby Rights Management. U těchto edicí je azure information protection podporovaná jenom pro klasifikaci a popisky, které platí pro ochranu, se uživatelům nezobrazují.

Popisky se zobrazují na panelu zobrazeném v horní části dokumentu Office, které je přístupné z tlačítka Citlivost v jednotném klientovi pro označování štítků nebo na tlačítku Zamknout v klasickém klientovi.

Další informace najdete v článku Aplikace, které podporují ochranudat Azure Rights Management .

Důležité:

Office 2010 skončila 13. října 2020 rozšířená podpora. Další informace najdete v článku OIP a starších verzích Windows a Office verzích.

Office a funkce nejsou podporované

  • Klienti Azure Information Protection pro Windows nepodporují více verzí Office na stejném počítači ani přepínání uživatelských účtů v Office.

  • Funkce Office hromadné korespondence není u žádné funkce Azure Information Protection podporovaná.

Brány firewall a síťová infrastruktura

Pokud máte brány firewall nebo podobná intervenující síťová zařízení, která jsou nakonfigurovaná tak, aby povolovali určitá připojení, požadavky na připojení k síti jsou uvedené v tomto článku Office: Microsoft 365 Common and Office Online.

Azure Information Protection má následující další požadavky:

  • Unified labeling client. Pokud chcete stáhnout popisky a zásady štítků, povolte následující adresu URL přes HTTPS: *.protection.outlook.com

  • Web proxies. Pokud používáte webový proxy server, který vyžaduje ověřování, musíte nakonfigurovat proxy server tak, aby Windows ověřování pomocí přihlašovacích údajů služby Active Directory uživatele.

    Pokud chcete podporovat soubory Proxy.pac při použití proxy serveru k získání tokenu, přidejte následující nový klíč registru:

    • Cesta:
    • Klávesa:
    • Zadejte:
    • Hodnota:

  • Připojení mezi klienty a službou TLS Neukončíte žádná připojení mezi klienty a službou TLS, například k provedení kontroly na úrovni paketů, na aadrm.com URL. Tím přerušíte připnutí certifikátu, které klienti RMS používají s certifikačními autoritami spravovanými microsoftem, aby si pomohli zabezpečit komunikaci se službou Azure Rights Management.

    Pokud chcete zjistit, jestli je připojení klienta ukončeno před tím, než se dostane ke službě Azure Rights Management, použijte následující příkazy PowerShellu:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    Výsledek by měl ukázat, že vystavující certifikační autorita pochází z certifikační autority Microsoftu, například: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US .

    Pokud se zobrazí název vystavující certifikační autority, který není od Microsoftu, je pravděpodobné, že se vaše zabezpečené připojení mezi klienty a službou ukončí a vyžaduje změnu konfigurace brány firewall.

  • TLS verze 1.2 nebo vyšší (jenom klient s jednotným popiskem). Klient jednotného označování štítků vyžaduje tls verzi 1.2 nebo vyšší, aby bylo zajištěno použití kryptograficky zabezpečených protokolů a aby byl v souladu s pokyny zabezpečení společnosti Microsoft.

  • Microsoft 365 rozšířené služby konfigurace (ECS). AIP musí mít přístup k adrese URL config.edge.skype.com, což je Microsoft 365 služba rozšířené konfigurace (ECS).

    Ecs umožňuje Microsoftu překonfigurovat instalace AIP bez nutnosti znovu nasadit AIP. Používá se k řízení postupného zavádění funkcí nebo aktualizací, zatímco dopad zavádění se sleduje z diagnostických dat, která se shromažďují.

    Systém ECS se také používá ke zmírnění problémů se zabezpečením nebo výkonem pomocí funkce nebo aktualizace. Systém ECS také podporuje změny konfigurace související s diagnostickými daty, aby se zajistilo, že se shromažďují příslušné události.

    Omezení adresy CONFIG.EDGE.SKYPE.COM URL může mít vliv na schopnost Microsoftu zmírnit chyby a může mít vliv na vaši schopnost testovat funkce náhledu.

    Další informace najdete v článku Základní služby pro Office – Nasazení Office.

  • Připojení k síti s adresami URL protokolování auditování Aby bylo možné podporovat protokoly auditování AIP, musí mít AIP přístup k následujícím adresm URL:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Jenom data zařízení s Androidem)

    Další informace najdete v tématu Předpoklady pro vytváření sestav AIP.

Koexistence služby AD RMS s Azure RMS

Použití služby AD RMS a Azure RMS vedle sebe ve stejné organizaci k ochraně obsahu stejným uživatelem ve stejné organizaci je podporováno jenom ve službě AD RMS pro ochranu hyoku (s vlastním klíčem) pomocí Azure Information Protection.

Tento scénář není během migrace podporovaný. Mezi podporované cesty migrace patří:

Tip

Pokud nasadíte Azure Information Protection a pak se rozhodnete, že už tuto cloudovou službu nechcete používat, podívejte se na informace v tématu Vyřazení z provozu a deaktivace Azure Information Protection.

U jiných scénářů bez migrace, kdy jsou obě služby aktivní ve stejné organizaci, musí být obě služby nakonfigurované tak, aby obsah chránil jenom jeden z nich. Tyto scénáře nakonfigurujte takto:

  • Použití přesměrování pro migraci služby AD RMS na Azure RMS

  • Pokud musí být obě služby aktivní pro různé uživatele současně, vynucovat exkluzivitu pomocí konfigurací na straně služby. K nastavení režimu jen pro čtení pro službu AD RMS použijte ovládací prvky pro nasazení Azure RMS v cloudové službě a seznam ACL na adrese URL publikování.

Značky služeb

Pokud používáte koncový bod Azure a sledované sítě, nezapomeňte povolit přístup ke všem portům pro následující značky služeb:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

V tomto případě navíc služba Azure Information Protection závisí také na následujících IP adresách a portech:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Port 443pro přenosy HTTPS

Nezapomeňte vytvořit pravidla, která povolují odchozí přístup k těmto konkrétním IP adresám a prostřednictvím tohoto portu.

Podporované místní servery pro ochranu dat Azure Rights Management

Při použití konektoru Microsoft Rights Management jsou v Azure Information Protection podporované následující místní servery.

Tento konektor funguje jako komunikační rozhraní a předává přenosy mezi místními servery a službou Azure Rights Management, kterou Azure Information Protection používá k ochraně Office dokumentů a e-mailů.

Pokud chcete použít tento konektor, musíte nakonfigurovat synchronizaci adresářů mezi doménovými strukturami služby Active Directory a Azure Active Directory.

Mezi podporované servery patří:

Typ serveru Podporované verze
Exchange Server - Exchange Server 2019
– Exchange Server 2016
– Exchange Server 2013
– Exchange Server 2010
Office SharePoint Server - Office SharePoint Server 2016
– Office SharePoint Server 2013
– Office SharePoint Server 2010
File servers that run Windows Server and use File Classification Infrastructure (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Další informace najdete v tématu Nasazení konektoru Microsoft Rights Management.

Podporované operační systémy pro Azure Rights Management

Následující operační systémy podporují službu Azure Rights Management, která poskytuje ochranu dat pro AIP:

Operační systém Podporované verze
Windows počítače - Windows 7 (x86, x64)
- Windows 8 (x86, x64)
- Windows 8.1 (x86, x64)
- Windows 10 (x86, x64)
macOS Minimální verze macOS 10.8 (Mountain Lion)
Telefony a tablety s Androidem Minimální verze Androidu 6.0
iPhone a iPad Minimální verze iOS 11.0
Windows telefony a tablety Windows 10 Mobile

Další kroky

Až si prošeříte všechny požadavky na AIP a potvrdíte, že váš systém vyhovuje, pokračujte v přípravě uživatelů a skupin pro Azure Information Protection.