Requisitos da Proteção de Informações do Azure

Observação

Você está procurando Proteção de Informações do Microsoft Purview, anteriormente Proteção de Informações da Microsoft (MIP)?

O cliente de rotulagem unificada do Azure Proteção de Informações agora está no modo de manutenção. Recomendamos que você use rótulos integrados aos seus aplicativos e serviços Office 365. Saiba Mais

Antes de implantar a Proteção de Informações do Azure, verifique se o seu sistema atende aos seguintes pré-requisitos:

Para implantar a Proteção de Informações do Azure, você precisa ter o cliente AIP instalado em qualquer computador em que você deseja usar os recursos da AIP. Para obter mais informações, confira Instalar o cliente de rotulagem unificada da Proteção de Informações do Azure para usuários e O lado do cliente da Proteção de Informações do Azure.

Assinatura da Proteção de Informações do Azure

Você deve ter um plano da Proteção de Informações do Azure para classificação, rotulagem e proteção usando o cliente ou o scanner da Proteção de Informações do Azure. Para obter mais informações, consulte:

Se sua pergunta não estiver respondida lá, entre em contato com seu gerente de conta Microsoft ou com o Suporte da Microsoft.

Azure Active Directory

Para dar suporte à autenticação e à autorização para a proteção de informações do Azure, você deve ter um Azure AD (Active Directory). Para usar contas de usuário do diretório local (AD DS), você também deve configurar a integração de diretórios.

  • O logon único (SSO) tem suporte para a Proteção de Informações do Azure, para que as credenciais dos usuários não sejam solicitadas repetidamente. Se você usa outra solução de fornecedor para a federação, verifique com o fornecedor como configurá-la para o Azure AD. O WS-Trust é um requisito comum para essas soluções oferecerem suporte ao logon único.

  • A MFA (Autenticação Multifator) é compatível com a Proteção de Informações do Azure quando você tem o software cliente necessário e configurou corretamente a infraestrutura de suporte da MFA.

O acesso condicional é compatível na versão prévia dos documentos protegidos pela Proteção de Informações do Azure. Para obter mais informações, consulte: Vejo que Proteção de Informações do Azure está listado como um aplicativo de nuvem disponível para acesso condicional — como isso funciona?

São necessários pré-requisitos adicionais para cenários específicos, como ao usar a autenticação multifator ou com base em certificado, ou quando os valores de UPN não correspondem aos endereços de email do usuário.

Para obter mais informações, consulte:

Dispositivos cliente

Os computadores de usuário ou dispositivos móveis devem ser executados em um sistema operacional que dê suporte à Proteção de Informações do Azure.

Sistemas operacionais compatíveis para dispositivos clientes

Os clientes da Proteção de Informações do Azure para Windows são compatíveis com os seguintes sistemas operacionais:

  • Windows 11

  • Windows 10 (x86, x64). Não há suporte para manuscrito no Windows 10 build RS4 e posteriores.

  • Windows 8.1 (x86, x64)

  • Windows 8 (x86, x64)

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 e Windows Server 2012

Para obter detalhes sobre o suporte em versões anteriores do Windows, entre em contato com seu representante de conta ou suporte da Microsoft.

Observação

Quando os clientes da Proteção de Informações do Azure protegem os dados usando o serviço Azure Rights Management, os dados podem ser consumidos pelos mesmos dispositivos que dão suporte ao serviço Azure Rights Management.

ARM64

No momento, não há suporte para ARM64.

Máquinas virtuais

Se você estiver trabalhando com máquinas virtuais, verifique se o fornecedor de software para sua solução de área de trabalho virtual exige configurações adicionais para executar a rotulagem unificada da Proteção de Informações do Azure ou o cliente de Proteção de Informações do Azure.

Por exemplo, para soluções Citrix, talvez seja necessário desabilitar os ganchos da API (Interface de Programação de Aplicativo) do Citrix para Office, o cliente de rotulagem unificado da Proteção de Informações do Azure ou o cliente de Proteção de Informações do Azure.

Esses aplicativos usam os seguintes arquivos, respectivamente: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Suporte de servidor

Para cada uma das versões de servidor listadas, os clientes da Proteção de Informações do Azure têm suporte para Serviços de Área de Trabalho Remota.

Se você excluir perfis de usuário ao usar os clientes da Proteção de Informações do Azure com os Serviços de Área de Trabalho Remota, não exclua a pasta %Appdata%\Microsoft\Protect.

Além disso, não há suporte para o Server Core e o Nano Server.

Requisitos adicionais por cliente

Cada cliente da Proteção de Informações do Azure tem requisitos adicionais. Para obter detalhes, confira:

Aplicativos

O cliente da Proteção de Informações do Azure pode rotular e proteger documentos e emails usando Microsoft Word, Excel, PowerPoint e Outlook das seguintes edições do Office:

  • Aplicativos do Office, para as versões listadas na tabela de versões com suporte do Microsoft 365 Apps por canal de atualizações, do Microsoft 365 Apps para Pequenos e Médios negócios ou do Microsoft 365 Business Premium, quando uma licença do Azure Rights Management (também conhecido como Proteção de Informações do Azure para Office 365) é atribuída ao usuário

  • Microsoft 365 Apps para Grandes Empresas

  • Office Professional Plus 2021

  • Office Professional Plus 2019

  • Office Professional Plus 2016

  • Office Professional Plus 2013 com Service Pack 1

Outras edições do Office não podem proteger documentos e emails usando um serviço de Rights Management. Para essas edições, a Proteção de Informações do Azure tem suporte apenas para classificação e os rótulos que aplicam a proteção não são exibidos para os usuários.

Os rótulos são exibidos em uma barra exibida na parte superior do documento do Office, acessíveis a partir do botão Confidencialidade no cliente de rotulagem unificada.

Para obter mais informações, confira Aplicativos que dão suporte à proteção de dados do Azure Rights Management.

Recursos e funcionalidades do Office sem suporte

  • Os clientes da Proteção de Informações do Azure para Windows não são compatíveis com várias versões do Office no mesmo computador nem com alternar contas de usuário no Office.

  • Não há suporte para o recurso de mala direta do Office com nenhum recurso de Proteção de Informações do Azure.

Infraestrutura de rede e firewalls

Se você tiver firewalls ou dispositivos de rede intervindo semelhantes configurados para permitir conexões específicas, os requisitos de conectividade de rede serão listados neste artigo do Office: Microsoft 365 Common e Office Online.

A Proteção de Informações do Azure tem os seguintes requisitos adicionais:

  • Cliente de rotulagem unificada. Para baixar rótulos e políticas de rótulo, permita a seguinte URL sobre HTTPS: * .protection.outlook.com

  • Proxies Web. Se você usa um proxy Web que exige autenticação, é necessário configurá-lo para usar a autenticação integrada do Windows com as credenciais de conexão do usuário do Active Directory.

    Para dar suporte a arquivos Proxy.pac ao usar um proxy para adquirir um token, adicione a seguinte nova chave do registro:

    • Caminho: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Chave: UseDefaultCredentialsInProxy
    • Tipo: DWORD
    • Valor: 1
  • As conexões de cliente a serviço do TLS. Não encerre nenhuma conexão cliente/serviço TLS, por exemplo, para realizar inspeção no nível de pacote, para a URL aadrm.com. Fazer isso interrompe a anexação do certificado que os clientes RMS usam com as autoridades de certificação gerenciadas pela Microsoft para ajudar a garantir a comunicação com o serviço do Azure Rights Management.

    Para determinar se a conexão do cliente foi encerrada antes de chegar ao serviço Rights Management do Azure, use os seguintes comandos do PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    O resultado deve mostrar que a AC emissora é de uma AC da Microsoft, por exemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Se você vir um nome da Autoridade de Certificação emissora que não seja da Microsoft, é provável que sua conexão de cliente para serviço segura esteja sendo encerrada e precise de reconfiguração no firewall.

  • TLS versão 1.2 ou superior (somente o cliente de rotulagem unificada). O cliente de rotulagem unificada requer a versão do TLS 1.2 ou superior para garantir o uso de protocolos criptograficamente seguros e alinhar-se às diretrizes de segurança da Microsoft.

  • ECS (Serviço de Configuração Avançada) do Microsoft 365. A AIP deve ter acesso à URL config.edge.skype.com, que é um ECS (Serviço de Configuração Avançada) do Microsoft 365.

    O ECS permite que a Microsoft reconfigure instalações de AIP sem que você precise reimplantar a AIP. Ele é usado para controlar a distribuição gradual de recursos ou atualizações, enquanto o impacto da distribuição é monitorado por meio dos dados de diagnóstico que estão sendo coletados.

    O ECS também é usado para reduzir problemas de segurança ou de desempenho com um recurso ou uma atualização. O ECS também dá suporte a alterações de configuração relacionadas a dados de diagnóstico, para ajudar a garantir que os eventos apropriados estejam sendo coletados.

    Limitar a URL do config.edge.skype.com pode afetar a capacidade da Microsoft de reduzir erros e a capacidade de testar as versões prévias dos recursos.

    Para mais informações, consulte Serviços essenciais para Office – Implantar Office.

  • Conectividade de rede URL de log de auditoria. É necessário que a AIP possa acessar as seguintes URLs para dar suporte aos logs de auditoria da AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (somente dados de dispositivo Android)

    Para obter mais informações, confira Pré-requisitos para relatórios da AIP.

Coexistência do AD RMS com o Azure RMS

Há suporte para usar o AD RMS e o Azure RMS lado a lado, na mesma organização, para proteger o conteúdo do mesmo usuário na mesma organização, somente no AD RMS para HYOK (mantenha sua própria chave) com a Proteção de Informações do Azure.

Não há suporte para este cenário durante a migração. Os caminhos de migração com suporte incluem:

Dica

Se você implantar a Proteção de Informações do Azure e depois decidir que não quer mais usar este serviço de nuvem, confira Decommissioning and deactivating Azure Information Protection (Encerramento e desativação da Proteção de Informações do Azure).

Para outros cenários não de migração, em que ambos os serviços estão ativos na mesma organização, ambos os serviços devem ser configurados para que apenas um deles permita que qualquer usuário proteja o conteúdo. Configure esses cenários da seguinte maneira:

  • Usar redirecionamentos para uma migração do AD RMS para o Azure RMS

  • Se ambos os serviços devem estar ativos para diferentes usuários ao mesmo tempo, use as configurações do lado do serviço para impor exclusividade. Use os controles de integração do Azure RMS no serviço de nuvem e uma ACL na URL de Publicação para definir o modo Somente Leitura para AD RMS.

Marcas de serviço

Se você estiver usando um ponto de extremidade do Azure e um NSG, permita o acesso a todas as portas para as seguintes Marcas de Serviço:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Além disso, nesse caso, o serviço Proteção de Informações do Azure também depende dos seguintes endereços IP e porta:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Porta 443, para tráfego HTTPS

Crie regras para permitir o acesso de saída a esses endereços IP específicos e por essa porta.

Servidores locais compatíveis com a proteção de dados do Azure Rights Management

Os servidores locais a seguir têm suporte da Proteção de Informações do Azure quando você usa o conector do Microsoft Rights Management.

Este conector atua como uma interface de comunicações e retransmissão entre os servidores locais e o serviço Azure Rights Management, que é usado pela Proteção de Informações do Azure para proteger documentos e emails do Office.

Para usar este conector, você deve configurar a sincronização de diretório entre as florestas do Active Directory e do Azure Active Directory.

Os servidores compatíveis incluem:

Tipo de servidor Versões com suporte
Exchange Server - Exchange Server 2019
– Exchange Server 2016
– Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
– Office SharePoint Server 2016
– Office SharePoint Server 2013
Servidores de arquivos que executam o Windows Server e usam a Infraestrutura de Classificação de Arquivos (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Confira mais informações em Implantação do conector do Microsoft Rights Management.

Sistemas operacionais compatíveis com o Azure Rights Management

Os seguintes sistemas operacionais dão suporte ao serviço Rights Management do Azure, que fornece proteção de dados para AIP:

Sistema operacional Versões com suporte
Computadores com Windows - Windows 8 (x86, x64)
- Windows 8.1 (x86, x64)
- Windows 10 (x86, x64)
macOS Versão mínima do macOS 10.8 (Mountain Lion)
Telefones e tablets Android Versão mínima do Android 6.0
iPhone e iPad Versão mínima do iOS 11.0
Tablets e telefones Windows Windows 10 Mobile

Para obter mais informações, confira Aplicativos que dão suporte à proteção de dados do Azure Rights Management.

Próximas etapas

Depois de examinar todos os requisitos do AIP e confirmar que o sistema está em conformidade, continue com Preparando usuários e grupos para a Proteção de Informações do Azure.