Requisitos de proteção de informação do Azure

Aplica-se a**: Proteção de Informação Azure

Relevante para: Cliente de rotulagem unificada da AIP e cliente clássico da AIP.

Nota

Para proporcionar uma experiência unificada e simplificada ao cliente, o cliente clássico da Azure Information Protection e a Label Management no Portal Azure são depreciados a partir de 31 de março de 2021. Enquanto o cliente clássico continua a funcionar como configurado, não é fornecido mais suporte, e as versões de manutenção deixarão de ser lançadas para o cliente clássico.

Recomendamos que emigre para a rotulagem unificada e faça upgrade para o cliente de rotulagem unificado. Saiba mais no nosso recente blog de depreciação.

Antes de implementar a Proteção de Informação Azure, certifique-se de que o seu sistema cumpre os seguintes requisitos:

Subscrição do Azure Information Protection

Deve ter um plano de proteção de informação Azure para classificação, rotulagem e proteção utilizando o scanner ou cliente da Proteção de Informação Azure. Para obter mais informações, consulte a orientação de licenciamento microsoft 365 para a página de conformidade & de segurança.

Se a sua pergunta não for respondida, contacte o seu Gestor de Contas da Microsoft ou o Microsoft Support.

Dica

Para obter uma imagem completa dos requisitos de licenciamento da Microsoft Information Protection (MIP) por funcionalidade, consulte a folha de cálculo de comparação de licenças de conformidade da Microsoft 365.

Azure Active Directory

Para apoiar a autenticação e autorização para a Azure Information Protection, tem de dispor de um Diretório Ativo Azure (AD). Para utilizar as contas dos utilizadores a partir do seu diretório no local (DS AD), também deve configurar a integração do diretório.

  • O sign-on único (SSO) é suportado para a Proteção de Informações Azure para que os utilizadores não sejam repetidamente solicitados para as suas credenciais. Se utilizar outra solução de fornecedor para a federação, consulte o fornecedor sobre como configurá-la para Azure AD. WS-Trust é um requisito comum para que estas soluções apoiem uma única solução.

  • A autenticação multi-factor (MFA) é suportada com a Azure Information Protection quando tem o software cliente necessário e configurada corretamente a infraestrutura de suporte ao MFA.

O acesso condicional é suportado na pré-visualização de documentos protegidos pela Azure Information Protection. Para mais informações, veja: Vejo que o Azure Information Protection está listado como uma aplicação de nuvem disponível para acesso condicional — como é que isto funciona?

São necessários pré-requisitos adicionais para cenários específicos, tais como a utilização de autenticação baseada em certificados ou multi-fatores, ou quando os valores da UPN não correspondem aos endereços de e-mail do utilizador.

Para obter mais informações, consulte:

Dispositivos cliente

Os computadores dos utilizadores ou dispositivos móveis devem funcionar num sistema operativo que suporte a Proteção de Informação Azure.

Sistemas operativos suportados para dispositivos clientes

Os clientes Azure Information Protection para Windows são suportados são os seguintes sistemas operativos:

  • Windows 10 (x86, x64). A caligrafia não é suportada na construção do Windows 10 RS4 e posteriormente.

  • Windows 8.1 (x86, x64)

  • Windows 8 (x86, x64)

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 e Windows Server 2012

Para obter mais detalhes sobre o suporte em versões anteriores do Windows, contacte a sua conta Microsoft ou o representante de suporte.

Nota

Quando os clientes da Azure Information Protection protegem os dados utilizando o serviço Azure Rights Management, os dados podem ser consumidos pelos mesmos dispositivos que suportam o serviço de Gestão de Direitos Azure.

ARM64

O ARM64 não está atualmente suportado.

Máquinas virtuais

Se estiver a trabalhar com máquinas virtuais, verifique se o fornecedor de software para a sua solução de ambiente de trabalho virtual é como configurações adicionais necessárias para executar a rotulagem unificada da Azure Information Protection ou o cliente Azure Information Protection.

Por exemplo, para soluções Citrix, poderá ser necessário desativar os ganchos da Interface de Programação de Aplicações Citrix (API) para o Office, o cliente unificado de proteção de informação Azure ou o cliente Azure Information Protection.

Estas aplicações utilizam os seguintes ficheiros, respectivamente: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Suporte ao servidor

Para cada uma das versões do servidor listadas acima, os clientes da Azure Information Protection são suportados por Serviços de Ambiente de Trabalho Remoto.

Se eliminar os perfis do utilizador quando utilizar os clientes Azure Information Protection com Serviços remotos de ambiente de trabalho, não elimine a pasta %Appdata%\Microsoft\Protect.

Além disso, o Server Core e o Nano Server não são suportados.

Requisitos adicionais por cliente

Cada cliente da Azure Information Protection tem requisitos adicionais. Para obter mais detalhes, veja:

Aplicações

Os clientes da Azure Information Protection podem rotular e proteger documentos e e-mails utilizando o Microsoft Word, Excel, PowerPoint e Outlook de qualquer uma das seguintes edições do Office:

  • Aplicativos de escritório, para as versões listadas na tabela de versões suportadas para Apps Microsoft 365 por canalde atualização , a partir de Microsoft 365 Apps for Business ou Microsoft 365 Business Premium, quando o utilizador é atribuído uma licença para Azure Rights Management (também conhecido como Azure Information Protection for Office 365)

  • Microsoft 365 Apps for Enterprise

  • Office Professional Plus 2019

  • Office Professional Plus 2016

  • Office Professional Plus 2013 com Service Pack 1

  • Office Professional Plus 2010 com Service Pack 2

Outras edições do Office não podem proteger documentos e e-mails com um serviço Rights Management. Para estas edições, a Azure Information Protection é suportada apenas para classificação, e as etiquetas que aplicam a proteção não são apresentadas para os utilizadores.

As etiquetas são apresentadas numa barra exibida na parte superior do documento do Office, acessível a partir do botão Sensibilidade no cliente de rotulagem unificado ou no botão Protect no cliente clássico.

Para obter mais informações, consulte aplicações que suportem a proteção de dados da Azure Rights Management.

Importante

O apoio alargado ao Office 2010 terminou em 13 de outubro de 2020. Para obter mais informações, consulte as versões AIP e Legacy Windows e Office.

Funcionalidades e capacidades do Office não suportadas

  • Os clientes Azure Information Protection para windows não suportam várias versões do Office no mesmo computador, nem trocam as contas dos utilizadores no Office.

  • A funcionalidade de fusão de correio do Office não é suportada com qualquer recurso de Proteção de Informação Azure.

Firewalls e infraestrutura de rede

Se tiver uma firewall ou dispositivos de rede intervenientes semelhantes que estejam configurados para permitir ligações específicas, os requisitos de conectividade da rede estão listados neste artigo do Office: Microsoft 365 Common and Office Online.

A Azure Information Protection tem os seguintes requisitos adicionais:

  • Cliente de rotulagem unificado. Para descarregar etiquetas e políticas de etiquetas, permita o seguinte URL em HTTPS: *.protection.outlook.com

  • Proxies web. Se utilizar um representante web que exija autenticação, tem de configurar o proxy para utilizar a autenticação integrada do Windows com o sinal de Ative Directory do utilizador em credenciais.

    Para suportar ficheiros Proxy.pac ao utilizar um representante para adquirir um token, adicione a seguinte nova chave de registo:

    • Caminho:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Chave:UseDefaultCredentialsInProxy
    • Tipo:DWORD
    • Valor:1
  • Ligações cliente-a-serviço TLS. Não exterminar quaisquer ligações TLS cliente-a-serviço, por exemplo, para realizar inspeções ao nível do pacote, para o URL aadrm.com. Fazê-lo irá interromper a afixação do certificado que os clientes RMS utilizam com as ACs geridas pela Microsoft para ajudar a proteger as respetivas comunicações com o serviço Azure Rights Management.

    Para determinar se a ligação ao cliente está terminada antes de chegar ao serviço de Gestão de Direitos Azure, utilize os seguintes comandos PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    O resultado deve mostrar que a AC emissora é de um Microsoft CA, por exemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US .

    Se vir um nome ca que não seja da Microsoft, é provável que a sua ligação cliente-a-serviço segura esteja a ser encerrada e precise de reconfiguração na sua firewall.

  • Versão TLS 1.2 ou superior (apenas cliente de rotulagem unificada). O cliente de rotulagem unificado requer uma versão TLS de 1.2 ou superior para garantir a utilização de protocolos criptograficamente seguros e alinhar-se com as diretrizes de segurança da Microsoft.

  • Microsoft 365 Serviço de Configuração Melhorada (ECs). A AIP deve ter acesso ao URL config.edge.skype.com, que é um Microsoft 365 Enhanced Configuration Service (ECS).

    A ECS fornece à Microsoft a capacidade de reconfigurar as instalações AIP sem a necessidade de recolocar o AIP. É usado para controlar o lançamento gradual de funcionalidades ou atualizações, enquanto o impacto do lançamento é monitorizado a partir de dados de diagnóstico que estão sendo recolhidos.

    A ECS também é usada para mitigar problemas de segurança ou desempenho com uma funcionalidade ou atualização. A ECS também suporta alterações de configuração relacionadas com os dados de diagnóstico, para ajudar a garantir que os eventos apropriados estão a ser recolhidos.

    Limitar o URL config.edge.skype.com pode afetar a capacidade da Microsoft de mitigar erros e pode afetar a sua capacidade de testar funcionalidades de pré-visualização.

    Para mais informações, consulte os serviços essenciais para o Office - Deploy Office.

  • Auditoria registando conectividade da rede DE URL. A AIP deve poder aceder aos seguintes URLs a fim de suportar os registos de auditoria da AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Apenas dados de dispositivos Android)

    Para obter mais informações, consulte pré-requisitos para a informação da AIP.

Coexistência do AD RMS com o Azure RMS

A utilização de RMS AD e RMS Azure lado a lado, na mesma organização, para proteger os conteúdos pelo mesmo utilizador na mesma organização, é suportado em RMS AD para proteção HYOK (detenha a sua própria chave) com proteção de informação Azure.

Este cenário não é apoiado durante a migração. Os caminhos de migração apoiados incluem:

Dica

Se implementar o Azure Information Protection e, em seguida, decidir que já não quer utilizar este serviço cloud, consulte Encerrar e desativar o Azure Information Protection.

Para outros cenários de não migração, em que ambos os serviços estejam ativos na mesma organização, ambos os serviços devem ser configurados de modo a permitir que um deles permita a qualquer utilizador proteger o conteúdo. Configurar os cenários seguintes:

  • Utilize reorientações para uma migração AD RMS a Azure RMS

  • Se ambos os serviços tão bem utilizados para diferentes utilizadores ao mesmo tempo, utilize configurações do lado do serviço para impor a exclusividade. Utilize os controlos de bordo Azure RMS no serviço de nuvem e um ACL no URL de publicação para definir o modo Read-Only para AD RMS.

Etiquetas de Serviço

Se estiver a utilizar um ponto final Azure e um NSG, certifique-se de que permite o acesso a todas as portas para as seguintes Tags de Serviço:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Adicionalmente, neste caso, o serviço de Proteção de Informação Azure também depende dos seguintes endereços IP e porta:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Porto 443, para tráfego HTTPS

Certifique-se de criar regras que permitam o acesso de saída a estes endereços IP específicos, e através desta porta.

Servidores suportados no local para proteção de dados da Azure Rights Management

Os seguintes servidores no local são suportados com a Azure Information Protection quando utiliza o conector Microsoft Rights Management.

Este conector funciona como uma interface de comunicações, e transmite entre servidores no local e o serviço de Gestão de Direitos Azure, que é utilizado pela Azure Information Protection para proteger documentos e e-mails do Office.

Para utilizar este conector, tem de configurar a sincronização de diretórios entre as suas florestas do Active Directory e o Azure Active Directory.

Os servidores suportados incluem:

Tipo de servidor Versões suportadas
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
- Exchange Server 2010
Servidor Office SharePoint - Office SharePoint Server 2016
- Office SharePoint Server 2013
- Office SharePoint Server 2010
Servidores de ficheiros que executam o Servidor do Windows e utilizam a Infraestrutura de Classificação de Ficheiros (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Para obter mais informações, consulte implementar o conector Microsoft Rights Management.

Sistemas operativos suportados para a Azure Rights Management

Os seguintes sistemas operativos suportam o serviço de Gestão de Direitos Azure, que fornece proteção de dados para a AIP:

SO Versões suportadas
Computadores Windows - Windows 7 (x86, x64)
– Windows 8 (x86, x64)
– Windows 8.1 (x86, x64)
- Windows 10 (x86, x64)
macOS Versão mínima do macOS 10.8 (Leão da Montanha)
Telefones e tablets android Versão mínima do Android 6.0
iPhone e iPad Versão mínima do iOS 11.0
Windows telefones e tablets Windows 10 Mobile

Passos seguintes

Depois de rever todos os requisitos da AIP e confirmar que o seu sistema está em conformidade, continue com a Preparação de utilizadores e grupos para a Proteção de Informação Azure.