Anforderungen an Azure Information Protection
Hinweis
Suchen Sie Microsoft Purview Information Protection, früher Microsoft Information Protection (MIP)?
Der Azure Information Protection Client für einheitliche Bezeichnungen befindet sich jetzt im Wartungsmodus. Es wird empfohlen, Bezeichnungen zu verwenden, die in Ihre Office 365 Apps und Dienste integriert sind. Weitere Informationen
Bevor Sie Azure Information Protection bereitstellen, stellen Sie sicher, dass Ihr System folgende Voraussetzungen erfüllt:
- Abonnement für Azure Information Protection
- Azure Active Directory
- Clientgeräte
- Anwendungen
- Firewalls und Netzwerkinfrastruktur
Für die Bereitstellung von Azure Information Protection müssen die API-Clients auf allen Computern installiert sein, auf denen Sie API-Features verwenden möchten. Weitere Informationen finden Sie unter Installieren des Azure Information Protection-Clients für einheitliche Bezeichnungen für Benutzer und Die Clientseite von Azure Information Protection.
Abonnement für Azure Information Protection
Sie benötigen einen Azure Information Protection-Plan, um Klassifizierungs-, Bezeichnungs- und Schutzaufgaben mithilfe des Azure Information Protection-Scanners oder -Clients auszuführen. Weitere Informationen finden Sie unter
- Microsoft 365 Lizenzierungsleitfaden für Sicherheit & Konformität
- Vergleich moderner Arbeitspläne (PDF-Download)
Wenden Ihre Frage darin nicht beantwortet wird, wenden Sie sich an Ihren Microsoft-Konto-Manager oder an den Microsoft-Support.
Azure Active Directory
Zur Unterstützung der Authentifizierung und Autorisierung für Azure Information Protection müssen Sie über ein Azure Active Directory (Azure AD) verfügen. Wenn Sie Benutzerkonten aus Ihrem lokalen Verzeichnis (AD DS) verwenden möchten, müssen Sie auch die Verzeichnisintegration konfigurieren.
Das einmalige Anmelden (Single Sign-On, SSO) wird für Azure Information Protection unterstützt, sodass Benutzer nicht wiederholt zur Angabe ihrer Anmeldeinformationen aufgefordert werden. Wenn Sie die Lösung eines anderen Anbieters für den Verbund verwenden, fragen Sie beim Anbieter nach, wie die Lösung für Azure AD konfiguriert werden muss. WS-Trust ist eine häufige Anforderung für diese Lösungen zur Unterstützung des einmaligen Anmeldens.
Multi-Factor Authentication (MFA) wird mit Azure Information Protection unterstützt, wenn die erforderliche Clientsoftware installiert und die Infrastruktur zur Unterstützung von MFA richtig konfiguriert ist.
Bedingter Zugriff wird in der Vorschauversion für Dokumente unterstützt, die mithilfe von Azure Information Protection geschützt sind. Weitere Informationen finden Sie in folgenden Quellen: Azure Information Protection wird als verfügbare Cloud App für den bedingten Zugriff genannt. Wie funktioniert das?
Für bestimmte Szenarien gelten weitere Voraussetzungen, beispielsweise für die zertifikatbasierte oder mehrstufige Authentifizierung, oder wenn UPN-Werte nicht mit E-Mail-Adressen von Benutzern übereinstimmen.
Weitere Informationen finden Sie unter
- Zusätzliche Azure AD-Anforderungen für Azure Information Protection.
- Was ist ein Azure AD-Verzeichnis?
- Integrieren lokaler Active Directory-Domänen in Azure Active Directory.
Clientgeräte
Computer oder mobile Geräte von Benutzern müssen ein Betriebssystem ausführen, das Azure Information Protection unterstützt.
- Unterstützte Betriebssysteme für Clientgeräte
- ARM64
- Virtuelle Computer
- Serverunterstützung
- Zusätzliche Anforderungen pro Client
Unterstützte Betriebssysteme für Clientgeräte
Die Azure Information Protection-Clients werden von den folgenden Windows-Betriebssystemen unterstützt:
Windows 11
Windows 10 (x86, x64). Handschriftliche Einträge werden im Windows 10 RS4-Build und höher nicht unterstützt.
Windows 8.1 (x86, x64)
Windows 8 (x86, x64)
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2 und Windows Server 2012
Weitere Informationen zur Unterstützung in früheren Windows-Versionen erhalten Sie von Ihrem Microsoft-Kontobeauftragten oder einem Microsoft-Supportmitarbeiter.
Hinweis
Wenn der Azure Information Protection-Client Daten mithilfe des Azure Rights Management-Diensts schützt, können die Daten von den gleichen Geräten genutzt werden, die auch den Azure Rights Management-Dienst unterstützen.
ARM64
ARM64 wird derzeit nicht unterstützt.
Virtuelle Computer
Wenn Sie mit virtuellen Computern arbeiten, erkundigen Sie sich beim Softwareanbieter Ihrer virtuellen Desktoplösung, ob für die Ausführung des Azure Information Protection-Clients für einheitliche Bezeichnungen oder des Azure Information Protection-Clients zusätzliche Konfigurationen erforderlich sind.
Ein Beispiel: In Citrix-Lösungen müssen Sie möglicherweise für Office, den Azure Information Protection-Client für einheitliche Bezeichnungen oder den Azure Information Protection-Client die Citrix-API-Hooks deaktivieren.
Diese Anwendungen nutzen die folgenden Dateien: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe
Serverunterstützung
Unter jeder der aufgelisteten Serverversionen werden Azure Information Protection-Clients für Remotedesktopdienste unterstützt.
Wenn Sie bei Verwendung der Azure Information Protection-Clients mit Remotedesktopdiensten Benutzerprofile löschen, löschen Sie nicht den Ordner %Appdata%\Microsoft\Protect.
Server Core und Nano Server werden nicht unterstützt.
Zusätzliche Anforderungen pro Client
Für jeden Azure Information Protection-Client gelten zusätzliche Voraussetzungen. Einzelheiten dazu finden Sie unter:
Anwendungen
Die Azure Information Protection-Clients können Dokumente und E-Mails bezeichnen und schützen. Dafür werden die Microsoft-Anwendungen Word, Excel, PowerPoint und Outlook aus einer der folgenden Office-Editionen verwendet:
Office-Apps für die in der Tabelle der unterstützten Versionen für Microsoft 365-Apps nach Updatekanal aufgeführten Versionen von Microsoft 365 Apps for Business oder Microsoft 365 Business Premium, wenn dem Benutzer eine Azure Rights Management-Lizenz (in Microsoft 365 auch „Azure Information Protection“ genannt) zugewiesen wurde.
Microsoft 365 Apps for Enterprise
Office Professional Plus 2021
Office Professional Plus 2019
Office Professional Plus 2016
Office Professional Plus 2013 mit Service Pack 1
Andere Office-Suiten können keine Dokumente und E-Mails mithilfe eines Rights Management-Diensts schützen. Bei diesen Editionen wird Azure Information Protection nur für die Klassifizierung unterstützt. Bezeichnungen, die Schutz anwenden, werden für Benutzer nicht angezeigt.
Bezeichnungen werden in einer Leiste angezeigt, die oben im Office-Dokument angezeigt wird, auf die über die Schaltfläche "Vertraulichkeit " im einheitlichen Bezeichnungsclient zugegriffen werden kann.
Weitere Informationen finden Sie unter Anwendungen mit Unterstützung für den Azure Rights Management-Schutz von Daten.
Nicht unterstützte Office-Features und -Funktionen
Die Azure Information Protection-Clients für Windows unterstützen nicht mehrere Office-Versionen auf demselben Computer. Auch der Wechsel von Benutzerkonten in Office wird nicht unterstützt.
Das Office-Feature Seriendruck wird mit keinem Azure Information Protection-Feature unterstützt.
Firewalls und Netzwerkinfrastruktur
Wenn Sie über Firewalls oder ähnliche zwischengeschaltete Netzwerkgeräte verfügen, die so konfiguriert sind, dass sie bestimmte Verbindungen zulassen, sind die Anforderungen an die Netzwerkkonnektivität in diesem Office-Artikel aufgeführt: Microsoft 365 Common und Office Online.
Für Azure Information Protection gelten die folgenden zusätzlichen Voraussetzungen:
Client für einheitliche Bezeichnungen: Zum Herunterladen von Bezeichnungen und Bezeichnungsrichtlinien lassen Sie die folgende URL über HTTPS zu: * .protection.outlook.com.
Webproxys: Wenn Sie einen Webproxy verwenden, der eine Authentifizierung erfordert, müssen Sie ihn so konfigurieren, dass er die integrierte Windows-Authentifizierung mit den Active Directory-Anmeldeinformationen des Benutzers verwendet.
Um bei Verwendung eines Proxys zum Abrufen eines Tokens Proxy.pac-Dateien zu unterstützen, fügen Sie den folgenden neuen Registrierungsschlüssel hinzu:
- Pfad:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ - Schlüssel:
UseDefaultCredentialsInProxy - Typ:
DWORD - Wert:
1
- Pfad:
TLS-Verbindungen zwischen Client und Dienst. Beenden Sie keine TLS-Client-zu-Dienst-Verbindungen (z. B. zur Durchführung von Überprüfungen auf Paketebene) mit der URL aadrm.com. Ansonsten wird die Anheftung von Zertifikaten beendet, die von RMS-Clients für von Microsoft verwaltete Zertifizierungsstellen verwendet wird, um die Kommunikation mit dem Azure Rights Management-Dienst zu schützen.
Wenn Sie ermitteln möchten, ob Ihre Clientverbindung beendet wird, bevor sie den Azure Rights Management-Dienst erreicht, verwenden Sie die folgenden PowerShell-Befehle:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerDas Ergebnis sollte zeigen, dass die ausstellende Zertifizierungsstelle von einer Microsoft Zertifizierungsstelle stammt, z. B.
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Wenn Sie den Namen einer ausstellenden Zertifizierungsstelle sehen, die nicht von Microsoft stammt, ist es wahrscheinlich, dass Ihre sichere Client-zu-Dienst-Verbindung beendet wurde und in Ihrer Firewall neu konfiguriert werden muss.
TLS-Version 1.2 oder höher (nur Client für einheitliche Bezeichnungen): Der Client für einheitliche Bezeichnungen erfordert die TLS-Version 1.2 oder höher, um die Verwendung von kryptografisch sicheren Protokollen und die Übereinstimmung mit Microsoft-Sicherheitsrichtlinien sicherzustellen.
Microsoft 365 Enhanced Configuration Service (ECS) . AIP muss Zugriff auf die config.edge.skype.com-URL haben, bei der es sich um eine Microsoft 365 Enhanced Configuration Service-Instanz (ECS) handelt.
ECS bietet Microsoft die Möglichkeit, AIP-Installationen neu zu konfigurieren, ohne dass Sie AIP erneut bereitstellen müssen. Dieser Dienst wird verwendet, um den sukzessiven Rollout von Features oder Updates zu steuern, wobei die Auswirkungen des Rollouts über die gesammelten Diagnosedaten überwacht werden.
ECS wird auch verwendet, um Sicherheits- oder Leistungsprobleme mit einem Feature oder Update zu mindern. ECS unterstützt auch Konfigurationsänderungen im Zusammenhang mit Diagnosedaten, um sicherzustellen, dass die richtigen Ereignisse gesammelt werden.
Das Einschränken der config.edge.skype.com-URL kann die Fähigkeit von Microsoft beeinträchtigen, Fehler zu beheben, und kann sich auf das Testen von Vorschaufeatures auswirken.
Weitere Informationen finden Sie unter Wesentliche Dienste für Office.
Überwachen der Protokoll-URL-Netzwerkkonnektivität AIP muss in der Lage sein, auf die folgenden URLs zuzugreifen, um AIP-Überwachungsprotokolle zu unterstützen:
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(nur Android-Gerätedaten)
Weitere Informationen finden Sie unter Voraussetzungen für die AIP-Berichterstattung.
Gleichzeitige Verwendung von AD RMS mit Azure RMS
Die parallele Verwendung von AD RMS und Azure RMS innerhalb einer Organisation zum Schutz von Inhalten ein und desselben Benutzers in ein und derselben Organisation wird nur in AD RMS für den HYOK-Schutz (Hold Your Own Key) mit Azure Information Protection unterstützt.
Dieses Szenario wird während der Migrationnicht unterstützt. Folgende Migrationspfade werden unterstützt:
Tipp
Wenn Sie Azure Information Protection bereitstellen und dann beschließen, diesen Clouddienst nicht mehr zu verwenden, finden Sie weitere Informationen unter Außerbetriebsetzen und Deaktivieren von Azure Information Protection.
In anderen, nicht migrationsbezogenen Szenarien, in denen beide Dienste in ein und derselben Organisation aktiv sind, müssen beide Dienste so konfiguriert werden, dass nur einer der Dienste einem Benutzer das Schützen von Inhalten erlaubt. Konfigurieren Sie solche Szenarien folgendermaßen:
Verwenden Sie Umleitungen für eine Migration von AD RMS zu Azure RMS.
Wenn beide Dienste gleichzeitig für verschiedene Benutzer aktiv sein müssen, verwenden Sie dienstseitige Konfigurationen, um Exklusivität zu erzwingen. Verwenden Sie die Azure RMS-Steuerelemente für das Onboarding im Clouddienst und eine Zugriffssteuerungsliste in der Veröffentlichungs-URL, um den schreibgeschützten Modus für AD RMS festzulegen.
Diensttags
Wenn Sie einen Azure-Endpunkt und eine NSG verwenden, stellen Sie sicher, dass Sie für die folgenden Diensttags den Zugriff auf alle Ports zulassen:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Außerdem benötigt der Azure Information Protection-Dienst in diesem Fall die folgenden IP-Adressen und folgenden Port:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Port 443 für HTTPS-Datenverkehr
Erstellen Sie unbedingt Regeln, um den ausgehenden Zugriff auf diese IP-Adressen über diesen Port zuzulassen.
Unterstützte lokale Server für den Azure Rights Management-Datenschutz
Bei Verwendung des Microsoft Rights Management-Connectors werden die folgenden lokalen Server mit Azure Information Protection unterstützt.
Dieser Connector dient als Kommunikationsschnittstelle und vermittelt zwischen lokalen Servern und dem Azure Rights Management-Dienst, der Office-Dokumente und E-Mails mithilfe von Azure Information Protection schützt.
Für die Verwendung des Connectors müssen Sie die Verzeichnissynchronisierung zwischen Ihren Active Directory-Gesamtstrukturen und Azure Active Directory konfigurieren.
Folgende Server werden unterstützt:
| Servertyp | Unterstützte Versionen |
|---|---|
| Exchange Server | - Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013 |
| Office SharePoint Server | - Office SharePoint Server 2019 - Office SharePoint Server 2016 - Office SharePoint Server 2013 |
| Dateiserver, die unter Windows Server ausgeführt werden und die Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) verwenden | Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 |
Weitere Informationen finden Sie unter Bereitstellen des Microsoft Rights Management-Connector.
Unterstützte Betriebssysteme für Azure Rights Management
Die folgenden Betriebssysteme unterstützen den Azure Rights Management-Dienst, der Datenschutz für AIP bietet:
| OS | Unterstützte Versionen |
|---|---|
| Windows-Computer | - Windows 8 (x86, x64) - Windows 8.1 (x86, x64) - Windows 10 (x86, x64) |
| macOS | Mindestversion von macOS 10.8 (Mountain Lion) |
| Android-Smartphones und -Tablets | Mindestversion: Android 6.0 |
| iPhone und iPad | Mindestversion: iOS 11.0 |
| Windows-Smartphones und -Tablets | Windows 10 Mobile |
Weitere Informationen finden Sie unter Anwendungen mit Unterstützung für den Azure Rights Management-Schutz von Daten.
Nächste Schritte
Wenn Sie alle AIP-Anforderungen überprüft und sich vergewissert haben, dass Ihr System konform ist, fahren Sie mit Vorbereiten von Benutzern und Gruppen für Azure Information Protection fort.