Vereisten voor Azure Information Protection

Van toepassing op: Azure Information Protection

Relevant voor: AIP unified labeling client en AIP classic client.

Als u 7 Windows 2010 Office hebt, zie AIP en oudere Windows en Office versies.

Zorg ervoor dat uw systeem voldoet aan de volgende vereisten voordat u Azure Information Protection implementeert:

• Abonnement voor Azure Information Protection
• Azure Active Directory
• Clientapparaten
• Toepassingen
• Firewalls en netwerkinfrastructuur

Als u Azure Information Protection wilt implementeren, moet de AIP-client zijn geïnstalleerd op alle computers waarop u AIP-functies wilt gebruiken. Zie De geïntegreerde labelingclient voor Azure Information Protection installeren voor gebruikers en De clientzijde van Azure Information Protection voor meer informatie.

Abonnement voor Azure Information Protection

U moet een Azure Information Protection-abonnement hebben voor classificatie, labeling en beveiliging met de Azure Information Protection-scanner of -client. Zie voor meer informatie:

• Microsoft 365 licentie-richtlijnen voor beveiligings compliance
• Vergelijking van modern werkplan (PDF-download)

Als uw vraag daar niet wordt beantwoord, neem dan contact op met uw Microsoft Account Manager of Microsoft Support.

Azure Active Directory

Als u verificatie en autorisatie voor Azure Information Protection wilt ondersteunen, moet u een Azure Active Directory (AD) hebben. Als u gebruikersaccounts wilt gebruiken vanuit uw on-premises adreslijst (AD DS), moet u ook adreslijstintegratie configureren.

• Eenmalige aanmelding (SSO) wordt ondersteund voor Azure Information Protection, zodat gebruikers niet herhaaldelijk om hun referenties worden gevraagd. Als u een andere leverancieroplossing voor federatie gebruikt, raadpleegt u deze leverancier voor het configureren van deze oplossing voor Azure AD. WS-Trust is een veelvoorkomende vereiste voor deze oplossingen ter ondersteuning van één aanmelding.

• MFA (Multi-Factor Authentication) wordt ondersteund met Azure Information Protection wanneer u de vereiste clientsoftware hebt en de MFA-ondersteunende infrastructuur correct hebt geconfigureerd.

Voorwaardelijke toegang wordt ondersteund in een voorbeeld van documenten die zijn beveiligd door Azure Information Protection. Zie Voor meer informatie: Ik zie Azure Information Protection wordt weergegeven als een beschikbare cloud-app voor voorwaardelijke toegang. Hoe werkt dit?

Aanvullende vereisten zijn vereist voor specifieke scenario's, zoals bij het gebruik van verificatie op basis van certificaten of meervoudige verificatie, of wanneer UPN-waarden niet overeenkomen met e-mailadressen van gebruikers.

Zie voor meer informatie:

• Aanvullende Azure AD-vereisten voor Azure Information Protection.
• Wat is Azure AD Directory?
• Integreer on-premises Active Directory-domeinen met Azure Active Directory.

Clientapparaten

Gebruikerscomputers of mobiele apparaten moeten worden uitgevoerd op een besturingssysteem dat Azure Information Protection ondersteunt.

• Ondersteunde besturingssystemen voor clientapparaten
• ARM64
• Virtuele machines
• Serverondersteuning
• Aanvullende vereisten per client

Ondersteunde besturingssystemen voor clientapparaten

De Azure Information Protection-clients voor Windows worden ondersteund:

• Windows 11

• Windows 10 (x86, x64). Handschrift wordt niet ondersteund in de Windows 10 RS4-build en hoger.

• Windows 8.1 (x86, x64)

• Windows 8 (x86, x64)

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2 en Windows Server 2012

Neem voor meer informatie over ondersteuning in eerdere versies van Windows contact op met uw Microsoft-account of ondersteuningsvertegenwoordiger.

ARM64

ARM64 wordt momenteel niet ondersteund.

Virtuele machines

Als u met virtuele machines werkt, controleert u of de softwareleverancier voor uw virtuele desktopoplossing extra configuraties nodig heeft voor het uitvoeren van de geïntegreerde labeling van Azure Information Protection of de Azure Information Protection-client.

Voor Citrix-oplossingen moet u bijvoorbeeld de API-haken (Citrix Application Programming Interface) uitschakelen voor Office, de geïntegreerde labelingclient van Azure Information Protection of de Azure Information Protection-client.

In deze toepassingen worden respectievelijk de volgende bestanden gebruikt:winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Serverondersteuning

Voor elk van de serverversies die hierboven worden vermeld, worden Azure Information Protection-clients ondersteund voor Extern bureaublad-services.

Als u gebruikersprofielen verwijdert wanneer u de Azure Information Protection-clients gebruikt met Remote Desktop Services, verwijdert u de map %Appdata%\Microsoft\Protect niet.

Bovendien worden Server Core en Nano Server niet ondersteund.

Aanvullende vereisten per client

Elke Azure Information Protection-client heeft aanvullende vereisten. Zie voor meer informatie:

• Azure Information Protection unified labeling client requirements

• Azure Information Protection-clientvereisten

Toepassingen

De Azure Information Protection-clients kunnen documenten en e-mailberichten labelen en beveiligen met Behulp van Microsoft Word,Excel,PowerPointen Outlook op een van de volgende Office versies:

• Office apps, voor de versies die worden vermeld in de tabel met ondersteunde versies voor Microsoft 365-apps by update-kanaal, van Microsoft 365-apps voor Bedrijven of Microsoft 365 Business Premium, wanneer aan de gebruiker een licentie is toegewezen voor Azure Rights Management (ook wel Bekend als Azure Information Protection voor Office 365)

• Microsoft 365-apps voor Enterprise

• Office Professional Plus 2019

• Office Professional Plus 2016

• Office Professional Plus 2013 met Service Pack 1

• Office Professional Plus 2010 met Service Pack 2

Andere edities van Office documenten en e-mailberichten kunnen niet worden beschermd met behulp van een Rights Management-service. Voor deze edities wordt Azure Information Protection alleen ondersteund voor classificatie en worden labels die bescherming toepassen niet weergegeven voor gebruikers.

Labels worden weergegeven in een balk boven aan het Office-document, toegankelijk via de knop Gevoeligheid in de geïntegreerde labelclient of de knop Beveiligen in de klassieke client.

Zie Toepassingen die ondersteuning bieden voor Azure Rights Management gegevensbescherming voor meer informatie.

Office functies en mogelijkheden die niet worden ondersteund

• De Azure Information Protection-clients voor Windows ondersteunen geen meerdere versies van Office op dezelfde computer of schakelen tussen gebruikersaccounts in Office.

• De Office functie voor afdruk samenvoegen wordt niet ondersteund met een Azure Information Protection-functie.

Firewalls en netwerkinfrastructuur

Als u een firewall of soortgelijke tussenliggende netwerkapparaten hebt die zijn geconfigureerd om specifieke verbindingen toe te staan, worden de netwerkconnectiviteitsvereisten weergegeven in dit Office-artikel: Microsoft 365 Common en Office Online.

Azure Information Protection heeft de volgende aanvullende vereisten:

• Unified labeling client. Als u etiketten en labelbeleid wilt downloaden, staat u de volgende URL toe via HTTPS: *.protection.outlook.com

• Web proxies. Als u een webproxy gebruikt die verificatie vereist, moet u de proxy configureren om geïntegreerde Windows te gebruiken met de Active Directory-aanmeldingsreferenties van de gebruiker.

  Als u Proxy.pac-bestanden wilt ondersteunen bij het gebruik van een proxy voor het verkrijgen van een token, voegt u de volgende nieuwe registersleutel toe:

  • Pad:
  • Toets:
  • Typ:
  • Waarde:

• TLS-client-to-serviceverbindingen. Beëindig geen TLS-client-to-serviceverbindingen, bijvoorbeeld om een pakketcontrole uit te voeren, naar de aadrm.com URL. Hierdoor wordt het certificaat dat RMS-clients gebruiken met door Microsoft beheerde CAs, niet meer vastgemaakt om hun communicatie met de service Azure Rights Management beveiligen.

  Gebruik de volgende PowerShell-opdrachten om te bepalen of de clientverbinding wordt beëindigd voordat deze de Azure Rights Management bereikt:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  Het resultaat moet laten zien dat de uitgifte-ca. afkomstig is van een Microsoft CA, bijvoorbeeld: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US .

  Als u een ca-naam ziet die niet afkomstig is van Microsoft, is het waarschijnlijk dat uw beveiligde client-to-service-verbinding wordt beëindigd en opnieuw moet worden geconfigureerd op uw firewall.

• TLS versie 1.2 of hoger (alleen geïntegreerde labelingclient). Voor de geïntegreerde labelingclient is een TLS-versie van 1.2 of hoger vereist om ervoor te zorgen dat cryptografische veilige protocollen worden gebruikt en worden uitgelijnd met de beveiligingsrichtlijnen van Microsoft.

• Microsoft 365 Enhanced Configuration Service (ECS). AIP moet toegang hebben tot de config.edge.skype.com URL, een Microsoft 365 Enhanced Configuration Service (ECS).

  ECS biedt Microsoft de mogelijkheid om AIP-installaties opnieuw te configureren zonder dat u AIP opnieuw hoeft te configureren. Het wordt gebruikt om de geleidelijke uitrol van functies of updates te bepalen, terwijl de impact van de implementatie wordt gecontroleerd op het moment dat diagnostische gegevens worden verzameld.

  ECS wordt ook gebruikt om beveiligings- of prestatieproblemen met een functie of update te beperken. ECS ondersteunt ook configuratiewijzigingen met betrekking tot diagnostische gegevens, om ervoor te zorgen dat de juiste gebeurtenissen worden verzameld.

  Het beperken config.edge.skype.com URL kan van invloed zijn op het vermogen van Microsoft om fouten te beperken en kan van invloed zijn op uw mogelijkheid om preview-functies te testen.

  Zie Essential services for Office - Deploy Office .

• Audit logging URL network connectivity. AIP moet toegang hebben tot de volgende URL's om AIP-auditlogboeken te ondersteunen:

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com (Alleen android-apparaatgegevens)

  Zie Vereisten voor AIP-rapportage voormeer informatie.

Coëxistentie van AD RMS met Azure RMS

Het gebruik van AD RMS en Azure RMS naast elkaar, in dezelfde organisatie, om inhoud te beveiligen door dezelfde gebruiker in dezelfde organisatie, wordt alleen ondersteund in AD RMS voor HYOK -beveiliging (houd uw eigen sleutel) met Azure Information Protection.

Dit scenario wordt niet ondersteund tijdens de migratie. Ondersteunde migratiepaden zijn:

• Van AD RMS naar Azure Information Protection

• Van Azure Information Protection naar AD RMS

Voor andere, niet-migratiescenario's, waarbij beide services actief zijn in dezelfde organisatie, moeten beide services zo zijn geconfigureerd dat een bepaalde gebruiker met slechts één van deze services inhoud kan beveiligen. Configureer dergelijke scenario's als volgt:

• Omleiding gebruiken voor een AD RMS-migratie naar Azure RMS-migratie

• Als beide services tegelijk actief moeten zijn voor verschillende gebruikers, gebruikt u configuraties aan de servicezijde om exclusiviteit af te dwingen. Gebruik de azure RMS-onboarding-besturingselementen in de cloudservice en een ACL op de PUBLICATIE-URL om de modus Alleen-lezen in te stellen voor AD RMS.

Servicelabels

Als u een Azure-eindpunt en een NSG gebruikt, moet u toegang verlenen tot alle poorten voor de volgende servicelabels:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

In dit geval is de Azure Information Protection-service ook afhankelijk van de volgende IP-adressen en -poort:

• 13.107.9.198
• 13.107.6.198
• 2620:1ec:4::198
• 2620:1ec:a92::198
• 13.107.6.181
• 13.107.9.181
• Poort 443, voor HTTPS-verkeer

Zorg ervoor dat u regels maakt die uitgaande toegang tot deze specifieke IP-adressen en via deze poort toestaan.

Ondersteunde on-premises servers voor Azure Rights Management gegevensbescherming

De volgende on-premises servers worden ondersteund met Azure Information Protection wanneer u de Microsoft Rights Management-connector gebruikt.

Deze verbindingslijn fungeert als een communicatie-interface en wordt doorverlost tussen on-premises servers en de Azure Rights Management-service, die door Azure Information Protection wordt gebruikt om Office documenten en e-mailberichten te beveiligen.

Als u deze verbindingslijn wilt gebruiken, moet u adreslijstsynchronisatie configureren tussen uw Active Directory-forests en Azure Active Directory.

Ondersteunde servers zijn:

Zie De Microsoft Rights Management-connector implementerenvoor meer informatie.

Ondersteunde besturingssystemen voor Azure Rights Management

De volgende besturingssystemen ondersteunen de Azure Rights Management service, die gegevensbescherming biedt voor AIP:

Volgende stappen

Nadat u alle AIP-vereisten hebt gecontroleerd en hebt bevestigd dat uw systeem voldoet, gaat u verder met het voorbereiden van gebruikers en groepen voor Azure Information Protection.