Requisitos de Azure Information Protection

Se aplica a: Azure Information Protection

Relevante para:cliente de etiquetado unificado AIP y cliente clásico AIP.

Si ha Windows 7 o Office 2010, vea AIP y versiones Windows y Office heredadas.

Antes de implementar Azure Information Protection, asegúrese de que el sistema cumple los siguientes requisitos previos:

• Suscripción a Azure Information Protection
• Azure Active Directory
• Dispositivos cliente
• Aplicaciones
• Firewalls e infraestructura de red

Para implementar Azure Information Protection, debe tener instalado el cliente AIP en cualquier equipo donde quiera usar las características de AIP. Para obtener más información, vea Instalar el cliente de etiquetado unificado de Azure Information Protection para los usuarios y El lado cliente de Azure Information Protection.

Suscripción a Azure Information Protection

Debe tener un plan de Azure Information Protection para la clasificación, el etiquetado y la protección con el escáner o cliente de Azure Information Protection. Para obtener más información, vea:

• Microsoft 365 de licencias para el cumplimiento de la seguridad
• Comparación del plan de trabajo moderno (descarga de PDF)

Si su pregunta no se responde allí, póngase en contacto con el Administrador de cuentas de Microsoft o el soporte técnico de Microsoft.

Azure Active Directory

Para admitir la autenticación y la autorización de Azure Information Protection, debe tener un Azure Active Directory (AD). Para usar cuentas de usuario de su directorio local (AD DS), también debe configurar la integración de directorios.

• El inicio de sesión único (SSO) es compatible con Azure Information Protection para que los usuarios no se pidan repetidamente sus credenciales. Si usa otra solución de proveedor para la federación, compruebe con ese proveedor cómo configurarla para Azure AD. WS-Trust es un requisito común para que estas soluciones admitan el inicio de sesión único.

• La autenticación multifactor (MFA) es compatible con Azure Information Protection cuando tiene el software de cliente necesario y ha configurado correctamente la infraestructura compatible con MFA.

El acceso condicional es compatible en versión preliminar para los documentos protegidos por Azure Information Protection. Para obtener más información, vea: Veo Que Azure Information Protection aparece como una aplicación en la nube disponible para el acceso condicional, ¿cómo funciona esto?

Se necesitan requisitos previos adicionales para escenarios específicos, como cuando se usa la autenticación basada en certificados o multifactor, o cuando los valores UPN no coinciden con las direcciones de correo electrónico de usuario.

Para obtener más información, vea:

• Requisitos Azure AD adicionales para Azure Information Protection.
• ¿Qué es Azure AD directorio?
• Integre dominios locales de Active Directory con Azure Active Directory.

Dispositivos cliente

Los equipos de usuario o dispositivos móviles deben ejecutarse en un sistema operativo compatible con Azure Information Protection.

• Sistemas operativos compatibles para dispositivos cliente
• ARM64
• Máquinas virtuales
• Soporte técnico del servidor
• Requisitos adicionales por cliente

Sistemas operativos compatibles para dispositivos cliente

Los clientes de Azure Information Protection Windows son compatibles con los siguientes sistemas operativos:

• Windows 11

• Windows 10 (x86, x64). La escritura a mano no se admite en Windows 10 compilación de RS4 y versiones posteriores.

• Windows 8.1 (x86, x64)

• Windows 8 (x86, x64)

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2 y Windows Server 2012

Para obtener más información sobre el soporte técnico en versiones anteriores de Windows, póngase en contacto con su cuenta de Microsoft o con el representante de soporte técnico.

ARM64

ARM64 no es compatible actualmente.

Máquinas virtuales

Si está trabajando con máquinas virtuales, compruebe si el proveedor de software de su solución de escritorio virtual requiere configuraciones adicionales para ejecutar el etiquetado unificado de Azure Information Protection o el cliente de Azure Information Protection.

Por ejemplo, para las soluciones de Citrix, es posible que deba deshabilitar los enlaces de la Interfaz de programación de aplicaciones (API) de Citrix para Office, el cliente de etiquetado unificado de Azure Information Protection o el cliente de Azure Information Protection.

Estas aplicaciones usan los siguientes archivos, respectivamente: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Soporte técnico del servidor

Para cada una de las versiones de servidor enumeradas anteriormente, los clientes de Azure Information Protection son compatibles con los servicios de escritorio remoto.

Si elimina perfiles de usuario al usar los clientes de Azure Information Protection con servicios de escritorio remoto, no elimine la carpeta %Appdata%\Microsoft\Protect.

Además, Server Core y Nano Server no son compatibles.

Requisitos adicionales por cliente

Cada cliente de Azure Information Protection tiene requisitos adicionales. Para obtener más información, vea:

• Requisitos de cliente de etiquetado unificado de Azure Information Protection

• Requisitos de cliente de Azure Information Protection

Aplicaciones

Los clientes de Azure Information Protection pueden etiquetar y proteger documentos y correos electrónicos mediante Microsoft Word, Excel, PowerPointy Outlook de cualquiera de las siguientes Office ediciones:

• Officeaplicaciones , para las versiones enumeradas en la tabla de versiones admitidas para Aplicaciones Microsoft 365por canal de actualización , desde Aplicaciones Microsoft 365 para empresas o Microsoft 365 Empresa Premium, cuando se asigna al usuario un licencia para Azure Rights Management (también conocida como Azure Information Protection para Office 365)

• Aplicaciones Microsoft 365 para Enterprise

• Office Profesional Plus 2019

• Office Profesional Plus 2016

• Office Profesional Plus 2013 con Service Pack 1

• Office Profesional Plus 2010 con Service Pack 2

Otras ediciones de Office pueden proteger documentos y correos electrónicos mediante un servicio de Rights Management. En estas ediciones, Azure Information Protection solo es compatible con la clasificación y las etiquetas que aplican protección no se muestran para los usuarios.

Las etiquetas se muestran en una barra que se muestra en la parte superior del documento de Office, accesible desde el botón Confidencialidad en el cliente de etiquetado unificado o el botón Proteger en el cliente clásico.

Para obtener más información, vea Aplicaciones que admiten Azure Rights Management protección de datos.

Office características y funcionalidades no compatibles

• Los clientes de Azure Information Protection para Windows no admiten varias versiones de Office en el mismo equipo o cambiar cuentas de usuario en Office.

• La Office de combinación de correspondencia no es compatible con ninguna característica de Azure Information Protection.

Firewalls e infraestructura de red

Si tiene un firewall o dispositivos de red similares que intervienen configurados para permitir conexiones específicas, los requisitos de conectividad de red se muestran en este artículo de Office: Microsoft 365 Común y Office Online.

Azure Information Protection tiene los siguientes requisitos adicionales:

• Cliente de etiquetado unificado. Para descargar etiquetas y directivas de etiquetas, permita la siguiente dirección URL a través de HTTPS: *.protection.outlook.com

• Servidores proxy web. Si usa un proxy web que requiere autenticación, debe configurar el proxy para que use la autenticación de Windows integrada con las credenciales de inicio de sesión de Active Directory del usuario.

  Para admitir archivos Proxy.pac al usar un proxy para adquirir un token, agregue la siguiente nueva clave del Registro:

  • Rutade acceso:
  • Tecla:
  • Escriba:
  • Valor:

• Conexiones de cliente a servicio TLS. No termine ninguna conexión de cliente a servicio TLS, por ejemplo, para realizar una inspección de nivel de paquete, en la dirección URL aadrm.com paquete. Al hacerlo, se rompe la ancla de certificado que los clientes rms usan con las ca administradas por Microsoft para ayudar a proteger su comunicación con el servicio Azure Rights Management cliente.

  Para determinar si la conexión de cliente finaliza antes de que llegue al Azure Rights Management, use los siguientes comandos de PowerShell:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  El resultado debería mostrar que la CA emisora es de una entidad de certificación de Microsoft, por ejemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US .

  Si ve un nombre de entidad emisora que no es de Microsoft, es probable que su conexión de cliente a servicio segura se haya terminado y necesite reconfiguración en el firewall.

• TLS versión 1.2 o posterior (solo cliente de etiquetado unificado). El cliente de etiquetado unificado requiere una versión tls de 1.2 o posterior para garantizar el uso de protocolos criptográficos seguros y alinearse con las directrices de seguridad de Microsoft.

• Microsoft 365 de configuración mejorada (ECS). AIP debe tener acceso a la dirección URL config.edge.skype.com, que es un Microsoft 365 de configuración mejorada (ECS).

  ECS ofrece a Microsoft la capacidad de volver a configurar instalaciones AIP sin necesidad de volver a implementar AIP. Se usa para controlar la implementación gradual de características o actualizaciones, mientras que el impacto de la implementación se supervisa a partir de los datos de diagnóstico que se recopilan.

  ECS también se usa para mitigar problemas de seguridad o rendimiento con una característica o actualización. ECS también admite los cambios de configuración relacionados con los datos de diagnóstico para garantizar que se recopilan los eventos adecuados.

  Limitar la dirección URL config.edge.skype.com puede afectar a la capacidad de Microsoft para mitigar errores y puede afectar a su capacidad para probar las características de vista previa.

  Para obtener más información, vea Servicios esenciales para Office: Implementar Office.

• Conectividad de red URL de registro de auditoría. AIP debe poder obtener acceso a las siguientes direcciones URL para admitir los registros de auditoría AIP:

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com (solo datos de dispositivos Android)

  Para obtener más información, vea Requisitos previos para informes AIP.

Coexistencia de AD RMS con Azure RMS

Usar AD RMS y Azure RMS en paralelo, en la misma organización, para proteger el contenido del mismo usuario de la misma organización, solo es compatible con la protección de AD RMS para HYOK (mantenga su propia clave) con Azure Information Protection.

Este escenario no es compatible durante la migración. Entre las rutas de migración admitidas se incluyen:

• De AD RMS a Azure Information Protection

• De Azure Information Protection a AD RMS

Para otros escenarios que no son de migración, donde ambos servicios están activos en la misma organización, ambos servicios deben configurarse para que solo uno de ellos permita que un usuario determinado proteja el contenido. Configure estos escenarios de la siguiente manera:

• Usar redireccionamientos para una migración de AD RMS a Azure RMS

• Si ambos servicios deben estar activos para diferentes usuarios al mismo tiempo, use configuraciones del lado del servicio para exigir la exclusividad. Use los controles de incorporación de RMS de Azure en el servicio en la nube y una ACL en la dirección URL de publicación para establecer el modo de solo lectura para AD RMS.

Etiquetas de servicio

Si usa un punto de conexión de Azure y un NSG, asegúrese de permitir el acceso a todos los puertos para las siguientes etiquetas de servicio:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

Además, en este caso, el servicio Azure Information Protection también depende de las siguientes direcciones IP y puerto:

• 13.107.9.198
• 13.107.6.198
• 2620:1ec:4::198
• 2620:1ec:a92::198
• 13.107.6.181
• 13.107.9.181
• Puerto 443,para tráfico HTTPS

Asegúrese de crear reglas que permitan el acceso saliente a estas direcciones IP específicas y a través de este puerto.

Servidores locales admitidos para Azure Rights Management protección de datos

Los siguientes servidores locales son compatibles con Azure Information Protection al usar el conector de Microsoft Rights Management.

Este conector actúa como interfaz de comunicaciones y retransmisión entre servidores locales y el servicio Azure Rights Management, que azure Information Protection usa para proteger Office documentos y correos electrónicos.

Para usar este conector, debe configurar la sincronización de directorios entre los bosques de Active Directory y Azure Active Directory.

Entre los servidores admitidos se incluyen:

Para obtener más información, vea Implementar el conector de Microsoft Rights Management.

Sistemas operativos compatibles para Azure Rights Management

Los siguientes sistemas operativos admiten el Azure Rights Management, que proporciona protección de datos para AIP:

Pasos siguientes

Una vez que haya revisado todos los requisitos de AIP y haya confirmado que el sistema cumple, continúe con Preparar usuarios y grupos para Azure Information Protection.