Requisitos da Proteção de Informações do Azure

  • Artigo

Nota

Você está procurando por Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

O suplemento Proteção de Informações do Azure foi retirado e substituído por rótulos incorporados aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O novo cliente Microsoft Purview Information Protection (sem o suplemento) está atualmente em pré-visualização e agendado para disponibilidade geral.

Antes de implantar a Proteção de Informações do Azure, verifique se seu sistema atende aos seguintes pré-requisitos:

Firewalls e infraestrutura de rede

Se você tiver firewalls ou dispositivos de rede intervenientes semelhantes configurados para permitir conexões específicas, os requisitos de conectividade de rede estão listados neste artigo do Office: Microsoft 365 Common e Office Online.

A Proteção de Informações do Azure tem os seguintes requisitos adicionais:

  • Cliente Microsoft Purview Informaiton Protection. Para transferir etiquetas e políticas de etiquetas, permita o seguinte URL através de HTTPS: *.protection.outlook.com

  • Proxies da Web. Se você usar um proxy da Web que exija autenticação, deverá configurá-lo para usar a autenticação integrada do Windows com as credenciais de entrada do Ative Directory do usuário.

    Para oferecer suporte a arquivos Proxy.pac ao usar um proxy para adquirir um token, adicione a seguinte nova chave do Registro:

    • Caminho: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Chave: UseDefaultCredentialsInProxy
    • Tipo: DWORD
    • Valor: 1

  • Conexões TLS cliente-serviço. Não encerre nenhuma conexão cliente-a-serviço TLS, por exemplo, para executar inspeção no nível de pacote, para a URL aadrm.com . Fazê-lo irá interromper a afixação do certificado que os clientes RMS utilizam com as ACs geridas pela Microsoft para ajudar a proteger as respetivas comunicações com o serviço Azure Rights Management.

    Para determinar se a conexão do cliente será encerrada antes de chegar ao serviço Azure Rights Management, use os seguintes comandos do PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    O resultado deve mostrar que a autoridade de certificação emissora é de uma autoridade de certificação da Microsoft, por exemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Se vir um nome de AC emissora que não seja da Microsoft, é provável que a sua ligação segura cliente-a-serviço esteja a ser terminada e necessite de reconfiguração na firewall.

  • TLS versão 1.2 ou superior (somente cliente de rotulagem unificado). O cliente de etiquetagem unificada requer uma versão TLS de 1.2 ou superior para garantir o uso de protocolos criptograficamente seguros e alinhar com as diretrizes de segurança da Microsoft.

  • Serviço de Configuração Avançada (ECS) do Microsoft 365. O AIP deve ter acesso à URL config.edge.skype.com, que é um Microsoft 365 Enhanced Configuration Service (ECS).

    O ECS fornece à Microsoft a capacidade de reconfigurar instalações do AIP sem a necessidade de reimplantar o AIP. Ele é usado para controlar a implantação gradual de recursos ou atualizações, enquanto o impacto da distribuição é monitorado a partir dos dados de diagnóstico que estão sendo coletados.

    O ECS também é usado para mitigar problemas de segurança ou desempenho com um recurso ou atualização. O ECS também oferece suporte a alterações de configuração relacionadas a dados de diagnóstico, para ajudar a garantir que os eventos apropriados estejam sendo coletados.

    Limitar a URL config.edge.skype.com pode afetar a capacidade da Microsoft de mitigar erros e pode afetar sua capacidade de testar recursos de visualização.

    Para obter mais informações, consulte Serviços essenciais para o Office - Implantar o Office.

  • Auditar a conectividade de rede da URL de log. O AIP deve ser capaz de acessar as seguintes URLs para oferecer suporte aos logs de auditoria do AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Apenas dados do dispositivo Android)

    Para obter mais informações, consulte Pré-requisitos para relatórios AIP.

Coexistência do AD RMS com o Azure RMS

Usar o AD RMS e o Azure RMS lado a lado, na mesma organização, para proteger conteúdo do mesmo usuário na mesma organização, só é suportado no AD RMS para proteção HYOK (mantenha sua própria chave) com a Proteção de Informações do Azure.

Este cenário não é suportado durante a migração. Os caminhos de migração suportados incluem:

Gorjeta

Se você implantar a Proteção de Informações do Azure e, em seguida, decidir que não deseja mais usar esse serviço de nuvem, consulte Descomissionando e desativando a Proteção de Informações do Azure.

Para outros cenários de não migração, em que ambos os serviços estão ativos na mesma organização, ambos os serviços devem ser configurados para que apenas um deles permita que qualquer usuário proteja o conteúdo. Configure esses cenários da seguinte maneira:

  • Usar redirecionamentos para uma migração do AD RMS para o Azure RMS

  • Se ambos os serviços precisarem estar ativos para usuários diferentes ao mesmo tempo, use as configurações do lado do serviço para impor exclusividade. Use os controles de integração do Azure RMS no serviço de nuvem e uma ACL na URL de publicação para definir o modo Somente Leitura para AD RMS.

Etiquetas de Serviço

Se estiver a utilizar um ponto de extremidade do Azure e um NSG, certifique-se de que permite o acesso a todas as portas para as seguintes Etiquetas de Serviço:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Além disso, nesse caso, o serviço Azure Information Protection também depende dos seguintes endereços IP e porta:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1EC:4::198
  • 2620:1EC:A92::198
  • 13.107.6.181
  • 13.107.9.181
  • Porta 443, para tráfego HTTPS

Certifique-se de criar regras que permitam o acesso de saída a esses endereços IP específicos, e através desta porta.

Servidores locais suportados para proteção de dados do Azure Rights Management

Os seguintes servidores locais têm suporte com a Proteção de Informações do Azure quando você usa o conector do Microsoft Rights Management.

Esse conector atua como uma interface de comunicação e retransmite entre servidores locais e o serviço Azure Rights Management, que é usado pela Proteção de Informações do Azure para proteger documentos e emails do Office.

Para usar esse conector, você deve configurar a sincronização de diretórios entre as florestas do Ative Directory e a ID do Microsoft Entra.

Os servidores suportados incluem:

Tipo de servidor Versões suportadas
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Servidor do Office SharePoint - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Servidores de ficheiros que executam o Windows Server e utilizam a FCI (Infraestrutura de Classificação de Ficheiros) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Para obter mais informações, consulte Implantando o conector do Microsoft Rights Management.

Sistemas operativos suportados para o Azure Rights Management

Os seguintes sistemas operativos suportam o serviço Azure Rights Management, que fornece proteção de dados para AIP:

SO Versões suportadas
Computadores Windows - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS Versão mínima do macOS 10.8 (Mountain Lion)
Telefones e tablets Android Versão mínima do Android 6.0
iPhone e iPad Versão mínima do iOS 11.0
Telefones e tablets Windows Windows 10 Mobile

Próximos passos

Depois de analisar todos os requisitos do AIP e confirmar que seu sistema está em conformidade, continue com Preparando usuários e grupos para a Proteção de Informações do Azure.