Requisiti per Azure Information Protection

  • Articolo
  • 10 minuti per la lettura

Nota

Stai cercando Microsoft Information Protection? Il client di etichettatura unificata di Azure Information Protection è attualmente in modalità di manutenzione. È consigliabile abilitare l'etichettatura predefinita di Microsoft Information Protection per le applicazioni Office 365. Altre informazioni

Prima di distribuire Azure Information Protection, assicurarsi che il sistema soddisfi i prerequisiti seguenti:

Per distribuire Azure Information Protection, è necessario che il client AIP sia installato in qualsiasi computer in cui si vogliono usare le funzionalità di AIP. Per altre informazioni, vedere Installare il client di etichettatura unificata di Azure Information Protection per gli utenti e Il lato client di Azure Information Protection.

Sottoscrizione di Azure Information Protection

È necessario avere un piano di Information Protection di Azure per la classificazione, l'etichettatura e la protezione usando lo scanner o il client di Azure Information Protection. Per altre informazioni, vedere:

Per domande senza risposta, contattare l'Account Manager designato da Microsoft o il supporto tecnico Microsoft.

Azure Active Directory

Per supportare l'autenticazione e l'autorizzazione per Azure Information Protection, è necessario avere Azure Active Directory (Azure AD). Per usare gli account utente dalla directory locale (AD DS), è necessario anche configurare l'integrazione delle directory.

  • L'accesso Single Sign-On (SSO) è supportato per Azure Information Protection, in modo che agli utenti non vengono richieste ripetutamente le credenziali. Se si usa la soluzione di un altro fornitore per la federazione, verificare con il fornitore come configurarla per Azure AD. WS-Trust è un requisito comune per queste soluzioni per il supporto di Single Sign-On.

  • L'autenticazione a più fattori (MFA) è supportata in Azure Information Protection quando si ha il software client richiesto e l'infrastruttura di supporto MFA è configurata correttamente.

L'accesso condizionale è supportato in anteprima per i documenti protetti da Azure Information Protection. Per altre informazioni, vedere: Azure Information Protection è elencata come un'app cloud disponibile per l'accesso condizionale, come funziona?

Per scenari specifici sono necessari altri prerequisiti, ad esempio quando si usa l'autenticazione a più fattori o basata sui certificati oppure quando i valori UPN non corrispondono agli indirizzi di posta elettronica degli utenti.

Per altre informazioni, vedere:

Dispositivi client

I computer o i dispositivi mobili degli utenti devono eseguire un sistema operativo che supporta Azure Information Protection.

Sistemi operativi supportati per i dispositivi client

I client di Azure Information Protection per Windows sono supportati dai sistemi operativi seguenti:

  • Windows 11

  • Windows 10 (x86, x64). La scrittura manuale non è supportata nella build RS4 di Windows 10 e successive.

  • Windows 8.1 (x86, x64)

  • Windows 8 (x86, x64)

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 e Windows Server 2012

Per informazioni dettagliate sul supporto nelle versioni precedenti di Windows, contattare l'account o il rappresentante del supporto tecnico Microsoft.

Nota

Quando i client di Azure Information Protection proteggono i dati tramite il servizio Azure Rights Management, i dati possono essere usati dagli stessi dispositivi che supportano il servizio Azure Rights Management.

ARM64

ARM64 non è attualmente supportato.

Macchine virtuali

Se si usano macchine virtuali, controllare con il fornitore del software per la soluzione desktop virtuale se sono necessarie configurazioni aggiuntive per l'esecuzione dell'etichettatura unificata di Azure Information Protection o del client di Azure Information Protection.

Ad esempio, per le soluzioni Citrix può essere necessario disabilitare gli hook dell'API Citrix per Office, il client dell'etichettatura unificata di Azure Information Protection o il client di Azure Information Protection.

Queste applicazioni usano rispettivamente i file seguenti: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Supporto server

Per ogni versione del server elencata sopra, i client di Azure Information Protection sono supportati per Servizi Desktop remoto.

Se si eliminano profili utente quando si usano i client di Azure Information Protection con Servizi Desktop remoto, non eliminare la cartella %Appdata%\Microsoft\Protect.

Inoltre, Server Core e Nano Server non sono supportati.

Requisiti aggiuntivi per i singoli client

Ogni client di Azure Information Protection ha requisiti aggiuntivi. Per informazioni dettagliate, vedere:

Applicazioni

I client di Azure Information Protection consentono di etichettare e proteggere documenti e messaggi di posta elettronica usando Microsoft Word, Excel, PowerPoint e Outlook di una delle edizioni di Office seguenti:

  • App di Office per le versioni elencate nella tabella delle versioni supportate di Microsoft 365 App in base al canale di aggiornamento, da Microsoft 365 Apps for business o Microsoft 365 Business Premium quando all'utente è assegnata una licenza per Azure Rights Management (noto anche come Azure Information Protection per Office 365)

  • Microsoft 365 Apps for enterprise

  • Office Professional Plus 2021

  • Office Professional Plus 2019

  • Office Professional Plus 2016

  • Office Professional Plus 2013 con Service Pack 1

Con le altre edizioni di Office non è possibile proteggere i documenti e i messaggi di posta elettronica usando un servizio Rights Management. Per queste edizioni, Azure Information Protection è supportato solo per la classificazione e le etichette che applicano la protezione non vengono visualizzate per gli utenti.

Le etichette vengono visualizzate in una barra visualizzata nella parte superiore del documento Office, accessibile dal pulsante Riservatezza nel client di etichettatura unificata.

Per altre informazioni, vedere Applicazioni che supportano la protezione dati di Azure Rights Management.

Funzionalità e capacità di Office non supportate

  • I client di Azure Information Protection per Windows non supportano più versioni di Office nello stesso computer o il passaggio da un account utente a un altro in Office.

  • La funzionalità di stampa unione di Office non è supportata con alcuna funzionalità di Azure Information Protection.

Firewall e infrastruttura di rete

Se sono presenti firewall o dispositivi di rete simili configurati per consentire connessioni specifiche, i requisiti di connettività di rete sono elencati in questo articolo Office: Microsoft 365 Common e Office Online.

Azure Information Protection ha i requisiti aggiuntivi seguenti:

  • Client di etichettatura unificata. Per scaricare le etichette e i criteri delle etichette, consentire l'URL seguente tramite HTTPS: * .protection.outlook.com

  • Proxy Web. Se si usa un proxy Web che richiede l'autenticazione, è necessario configurare il proxy per l'uso dell'autenticazione integrata di Windows con le credenziali di accesso di Active Directory dell'utente.

    Per supportare i file Proxy.pac quando si usa un proxy per acquisire un token, aggiungere la nuova chiave del Registro di sistema seguente:

    • Percorso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Chiave: UseDefaultCredentialsInProxy
    • Tipo: DWORD
    • Valore: 1

  • Connessioni da client a servizio TLS. Non terminare le connessioni da client a servizio TLS, ad esempio per il controllo a livello di pacchetti, all'URL aadrm.com. Se si terminano le connessione, viene interrotta l'associazione dei certificati usati dai client RMS con le autorità di certificazione gestite da Microsoft per contribuire a proteggere le comunicazioni con il servizio Azure Rights Management.

    Per determinare se la connessione client viene terminata prima che raggiunga il servizio Azure Rights Management, usare i comandi di PowerShell seguenti:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    Il risultato dovrebbe indicare che la CA emittente è una CA Microsoft, ad esempio: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Se la CA emittente non è Microsoft, è probabile che la connessione protetta da client a servizio venga terminata e richieda una riconfigurazione nel firewall.

  • TLS versione 1.2 o successiva (solo client di etichettatura unificata). Il client di etichettatura unificata richiede TLS versione 1.2 o successiva per garantire l'uso di protocolli crittograficamente sicuri e l'allineamento alle linee guida per la sicurezza di Microsoft.

  • Microsoft 365 servizio di configurazione avanzata (ECS). AIP deve avere accesso all'URL di config.edge.skype.com, ovvero un servizio di configurazione avanzata di Microsoft 365.

    ECS offre a Microsoft la possibilità di riconfigurare le installazioni di AIP senza dover ridistribuire AIP. Viene usato per controllare l'implementazione graduale di funzionalità o aggiornamenti, mentre l'impatto dell'implementazione viene monitorato dai dati di diagnostica raccolti.

    ECS viene usato anche per attenuare i problemi di sicurezza o prestazioni con una funzionalità o un aggiornamento. ECS supporta anche le modifiche di configurazione correlate ai dati di diagnostica, per garantire che vengano raccolti gli eventi appropriati.

    La limitazione dell'URL di config.edge.skype.com può influire sulla capacità di Microsoft di attenuare gli errori e può influire sulla possibilità di testare le funzionalità di anteprima.

    Per altre informazioni, vedere Servizi essenziali per Office - Distribuire Office.

  • Connettività di rete dell'URL di registrazione di controllo. AIP deve essere in grado di accedere agli URL seguenti per supportare i log di controllo di AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com(solo Android dati del dispositivo)

    Per altre informazioni, vedere Prerequisiti per la creazione di report AIP.

Coesistenza di AD RMS con Azure RMS

L'uso di AD RMS e Azure RMS nella stessa organizzazione per proteggere il contenuto dello stesso utente nella stessa organizzazione, è supportato solo in AD RMS per la protezione HYOK (Hold your own key) con Azure Information Protection.

Questo scenario non è supportato durante la migrazione. I percorsi di migrazione supportati includono:

Suggerimento

Se si distribuisce Azure Information Protection e poi si decide di interrompere l'uso del servizio cloud, vedere Rimozione delle autorizzazioni e disattivazione di Azure Information Protection.

Per altri scenari non di migrazione in cui entrambi i servizi sono attivi nella stessa organizzazione, entrambi i servizi devono essere configurati in modo che solo uno di essi consenta a un determinato utente di proteggere il contenuto. Configurare questo tipo di scenari come segue:

  • Usare i reindirizzamenti per una migrazione da AD RMS ad Azure RMS

  • Se entrambi i servizi devono essere attivi contemporaneamente per utenti diversi, usare le configurazioni lato servizio per imporre l'esclusività. Usare i controlli di onboarding di Azure RMS nel servizio cloud e un elenco di controllo di accesso (ACL) nell'URL di pubblicazione per impostare la modalità di sola lettura per AD RMS.

Tag di servizio

Se si usa un endpoint Azure e un gruppo di sicurezza di rete, assicurarsi di consentire l'accesso a tutte le porte per i tag del servizio seguenti:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

In questo caso il servizio Azure Information Protection dipende anche dagli indirizzi IP e dalla porta seguenti:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Porta 443 per il traffico HTTPS

Assicurarsi di creare regole per consentire l'accesso in uscita a questi indirizzi IP specifici e tramite questa porta.

Server locali supportati per la protezione dati di Azure Rights Management

I server locali seguenti sono supportati con Azure Information Protection quando si usa il connettore Microsoft Rights Management.

Il connettore funge da interfaccia di comunicazione ed esegue l'inoltro tra i server locali e il servizio Azure Rights Management usato da Azure Information Protection per proteggere messaggi di posta elettronica e documenti di Office.

Per usare questo connettore, è necessario configurare la sincronizzazione delle directory tra le foreste Active Directory e Azure Active Directory.

I server supportati includono:

Tipo di server Versioni supportate
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
File server che eseguono Windows Server e usano la funzionalità Infrastruttura di classificazione file - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Per altre informazioni, vedere Distribuzione del connettore Microsoft Rights Management.

Sistemi operativi supportati per Azure Rights Management

I sistemi operativi seguenti supportano il servizio Azure Rights Management che offre la protezione dati per AIP:

OS Versioni supportate
Computer Windows - Windows 8 (x86, x64)
- Windows 8.1 (x86, x64)
- Windows 10 (x86, x64)
macOS la versione minima di macOS è 10.8 (Mountain Lion)
Telefoni e tablet Android Versione minima di Android: 6.0
iPhone e iPad Versione minima di iOS: 11.0
Telefoni e tablet Windows Windows 10 Mobile

Per altre informazioni, vedere Applicazioni che supportano la protezione dati di Azure Rights Management.

Passaggi successivi

Dopo aver esaminato tutti i requisiti di AIP e aver verificato che il sistema sia conforme, continuare con Preparazione di utenti e gruppi per Azure Information Protection.