Requisitos da Proteção de Informações do Azure

  • Artigo

Observação

Está procurando pela Proteção de Informações do Microsoft Purview, conhecida anteriormente como MIP (Proteção de Informações da Microsoft)?

O suplemento Proteção de Informações do Azure é desativado e substituído por rótulos internos aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O novo cliente do Microsoft Purview Information Protection (sem o suplemento) está atualmente em pré-visualização e agendado para disponibilidade geral.

Antes de implantar a Proteção de Informações do Azure, verifique se o sistema atende aos seguintes pré-requisitos:

Firewalls e infraestrutura de rede

Caso tenha firewalls ou dispositivos de rede intervenientes similares configurados para permitir conexões específicas, consulte os requisitos de conectividade de rede listados neste artigo do Office: Microsoft 365 Common e Office Online.

A Proteção de Informações do Azure tem os seguintes requisitos adicionais:

  • Cliente Microsoft Purview Informaiton Protection. Para baixar rótulos e políticas de rótulo, permita o acesso à seguinte URL por HTTPS: *.protection.outlook.com

  • Proxies da Web. Se você usar um proxy da Web que requer autenticação, você deve configurá-lo para usar a autenticação integrada do Windows com as credenciais de logon do usuário do Active Directory.

    Para fornecer suporte a arquivos Proxy.pac ao usar um proxy para adquirir um token, adicione a nova chave do Registro a seguir:

    • Caminho: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Chave: UseDefaultCredentialsInProxy
    • Tipo: DWORD
    • Valor: 1

  • Conexões de cliente a serviço do TLS. Não encerre nenhuma conexão de cliente TLS para serviço, por exemplo, para executar inspeção em nível de pacote, para a URL aadrm.com. Fazer isso interrompe a anexação do certificado que os clientes RMS usam com as autoridades de certificação gerenciadas pela Microsoft para ajudar a garantir a comunicação com o serviço do Azure Rights Management.

    Para determinar se sua conexão de cliente foi encerrada antes de chegar ao serviço do Azure Rights Management, use os seguintes comandos do PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    O resultado deve mostrar que a autoridade de certificação emissora é de uma autoridade de certificação da Microsoft, por exemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Se você vir um nome de CA emissor que não seja da Microsoft, é provável que sua conexão segura de cliente para serviço esteja sendo encerrada e precise de reconfiguração no firewall.

  • TLS versão 1.2 ou superiores (somente cliente de rotulagem unificada). O cliente de rotulagem unificada requer uma versão TLS de 1.2 ou superior para garantir o uso de protocolos seguros criptograficamente e alinhar com as diretrizes de segurança da Microsoft.

  • Serviço de Configuração Aprimorado (ECS) do Microsoft 365. A AIP deve ter acesso à URL do config.edge.skype.com, que é um Serviço de Configuração Aprimorada (ECS) do Microsoft 365.

    O ECS fornece à Microsoft a capacidade de reconfigurar instalações da AIP sem a necessidade de reimplantá-la. Ele é usado para controlar o lançamento gradual de recursos ou atualizações, enquanto o impacto do lançamento é monitorado a partir dos dados de diagnóstico que estão sendo coletados.

    Também é usado para atenuar problemas de segurança ou desempenho de um recurso ou atualização. O ECS também possui suporte a alterações de configuração relacionadas a dados de diagnóstico para ajudar a garantir que os eventos apropriados sejam coletados.

    Limitar a URL de config.edge.skype.com pode afetar a capacidade da Microsoft de mitigar erros e pode afetar sua capacidade de testar versões prévias do recurso.

    Para obter mais informações, confira Serviços essenciais do Office - Implantação do Office.

  • URL de conectividade de rede de log de auditoria. É necessário que a AIP consiga acessar as seguintes URLs a fim de dar suporte a logs de auditoria da AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Somente dados de dispositivo Android)

    Para obter mais informações, confira Pré-requisitos para relatórios da AIP.

Coexistência do AD RMS com o Azure RMS

O uso do AD RMS e o Azure RMS lado a lado na mesma organização para proteger o conteúdo do mesmo usuário na mesma organização, tem suporte somente no AD RMS para proteção HYOK (manter sua própria chave) com Proteção de Informações do Azure.

Não há suporte para a migração nesse cenário. Os caminhos de migração com suporte incluem:

Dica

Caso você implante a Proteção de Informações do Azure e posteriormente decida que não deseja mais usar esse serviço de nuvem, consulte Encerrar e desativar a Proteção de Informações do Azure.

Para outros cenários de não migração, em que ambos os serviços estejam ativos na mesma organização, é necessário configurar os serviços de modo que apenas um deles permita a proteção de conteúdo por um determinado usuário. Configure esses cenários da seguinte maneira:

  • Use redirecionamentos para uma migração do AD RMS para o Azure RMS

  • Se for necessário que ambos os serviços estejam ativos para usuários diferentes ao mesmo tempo, use configurações do lado do serviço para impor exclusividade. Use os controles de integração do Azure RMS no serviço de nuvem e uma ACL na URL de publicação para definir o AD RMS como modo Somente leitura.

Marcas de serviço

Se você estiver usando um ponto de extremidade do Azure e um NSG, certifique-se de permitir o acesso a todas as portas para as seguintes Marcas de Serviço:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Além disso, nesse caso, o serviço Proteção de Informações do Azure também depende dos seguintes endereços IP e porta:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Porta 443 para tráfego HTTPS

Crie regras que permitam acesso de saída a esses endereços IP específicos e por meio dessa porta.

Servidores locais com suporte para a proteção de dados do Azure Rights Management

Os seguintes servidores locais são compatíveis com a Proteção de Informações do Azure ao usar o conector do Microsoft Rights Management.

Esse conector atua como uma interface de comunicação e faz retransmissões entre servidores locais e o serviço Azure Rights Management, usado pela Proteção de Informações do Azure para proteger documentos e emails do Office.

Para usar esse conector, é necessário configurar a sincronização de diretórios entre as florestas do Active Directory e do Microsoft Entra ID.

Os servidores compatíveis incluem:

Tipo de servidor Versões suportadas
Exchange Server - Servidor Exchange 2019
- Servidor Exchange 2016
- Servidor Exchanhe 2013
Servidor Office SharePoint Servidor Office SharePoint 2019
- Servidor Office SharePoint 2016
- Servidor Office SharePoint 2013
Servidores de arquivo que executam o Windows Server e usam a Infraestrutura de Classificação de Arquivos (FCI) - Windows Server 2016,
- Windows Server 2012 R2
- Windows Server 2012

Para obter mais informações, confira Implantacão do conector do Microsoft Rights Management.

Sistemas operacionais compatíveis com o Azure Rights Management

Os seguintes sistemas operacionais oferecem suporte ao serviço Azure Rights Management, que fornece proteção de dados para a AIP:

SO Versões com suporte
Computadores com Windows - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS Versão mínima do macOS: 10.8 (Mountain Lion)
Telefones e tablets Android Versão mínima do Android: 6.0
iPhone e iPad Versão mínima do iOS: 11.0
Telefones e tablets Windows Windows 10 Mobile

Próximas etapas

Depois de revisar todos os requisitos da AIP e confirmar que seu sistema está em conformidade, continue com a Preparação de usuários e grupos para a Proteção de Informações do Azure.