Требования для Azure Information Protection

**Область применения : Azure Information Protection

К чему относится: клиент унифицированных меток и классический клиент AIP.

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Перед развертыванием Azure Information Protection убедитесь, что система соответствует следующим предварительным требованиям:

Подписка на Azure Information Protection

Вам нужно иметь план Azure Information Protection для классификации, маркировки и защиты с помощью сканера или клиента Azure Information Protection. Чтобы удостовериться, что подписка включает нужные вам функции Azure Information Protection, просмотрите список функций на странице цен на Azure Information Protection.

Если у вас есть вопросы о подписках или лицензировании, не размещайте их на этой странице. Вместо этого проверьте, есть ли ответы на них в разделе Часто задаваемые вопросы о лицензировании. Если ответов нет, обратитесь к своему менеджеру по работе с клиентами Майкрософт или в службу поддержки Майкрософт.

Совет

Полные сведения о требованиях к лицензированию Microsoft Information Protection (MIP) для каждой функции см. в таблице со сравнением лицензий для предложений "Соответствие требованиям Microsoft 365".

Azure Active Directory

Для поддержки аутентификации и авторизации пользователей для использования Azure Information Protection требуется Azure Active Directory (Azure AD). Чтобы использовать учетные записи пользователей из локального каталога (AD DS), нужно выполнить настройку интеграции каталогов.

  • Единый вход (SSO) . Поддерживается для Azure Information Protection, поэтому пользователям не предлагается повторно вводить свои учетные данные. Если вы используете другой поставщик решения для федерации, узнайте у него, как можно настроить это решение для Azure AD. WS-Trust — это распространенное требование для поддержки единого входа в таких решениях.

  • Многофакторная идентификация (MFA) Поддерживается в Azure Information Protection при наличии необходимого клиентского программного обеспечения и правильно настроенной инфраструктуры, которая обеспечивает работу многофакторной идентификации.

Предварительная версия поддерживает условный доступ для документов, защищенных с помощью Azure Information Protection. Дополнительные сведения см. на странице Служба Azure Information Protection указана в списке доступных облачных приложений для условного доступа. Как она работает?

Для определенных сценариев, например при использовании проверки подлинности на основе сертификатов или многофакторной проверки подлинности, или когда значения UPN не совпадают с адресами электронной почты пользователя, необходимо также удовлетворить дополнительные предварительные требования.

Дополнительные сведения см. в разделе:

Устройства клиента

Операционная система компьютеров или мобильных устройств пользователей должна поддерживать Azure Information Protection.

Поддерживаемые операционные системы для клиентских устройств

Клиенты Azure Information Protection для Windows поддерживают следующие операционные системы:

  • Windows 10 (x86, x64): в Windows 10 сборки RS4 и последующих сборках отсутствует поддержка рукописного ввода;

  • Windows 8.1 (x86, x64);

  • Windows 8 (x86, x64);

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 и Windows Server 2012.

Для получения дополнительных сведений о поддержке в более ранних версиях Windows обратитесь к своему менеджеру по работе с клиентами или представителю службы поддержки Майкрософт.

Примечание

Когда этот клиенты защищают данные с помощью службы Azure Rights Management, эти данные могут использоваться теми же устройствами, на которых работает служба Azure Rights Management.

ARM64

ARM64 в настоящее время не поддерживается.

Виртуальные машины

Если вы работаете с виртуальными машинами, проверьте, обязательно ли требуется настроить поставщик программного обеспечения для решения виртуальных рабочих столов, чтобы запустить унифицированную маркировку Azure Information Protection или клиент Azure Information Protection.

Например, при использовании решения Citrix может потребоваться отключить обработчики его программного интерфейса (API) для Office, клиента унифицированной маркировки Azure Information Protection или клиента Azure Information Protection.

Эти приложения используют, соответственно, следующие файлы: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe.

Поддержка сервера

В перечисленных выше версиях серверной ОС клиент Azure Information Protection поддерживается для служб удаленных рабочих столов.

При удалении профилей пользователей во время использования клиентами Azure Information Protection со службами удаленных рабочих столов не удаляйте папку %Appdata%\Microsoft\Protect.

Кроме того, не поддерживаются основные серверные компоненты и Nano Server.

Дополнительные требования для отдельного клиента

Для каждого клиента Azure Information Protection существуют свои дополнительные требования. Подробная информация доступна в следующих статьях:

Приложения

Клиенты Azure Information Protection позволяют ставить метку и защищать документы и электронные письма с помощью приложений Microsoft Word, Excel, PowerPoint и Outlook в любых перечисленных ниже выпусках Office:

  • Приложения Office для версий, перечисленных в таблице поддерживаемых каналом обновления версий для приложений Microsoft 365 из приложений Microsoft 365 для бизнеса или Microsoft 365 бизнес премиум, если пользователю присвоена лицензия Azure Rights Management (также называется Azure Information Protection для Office 365)

  • Приложения Microsoft 365 для предприятий

  • Office профессиональный плюс 2019

  • Office профессиональный плюс 2016

  • Office профессиональный плюс 2013 с пакетом обновления 1

  • Office профессиональный плюс 2010 с пакетом обновления 2

Другие выпуски Office не могут защитить документы и сообщения электронной почты с помощью службы управления правами. Для этих выпусков Azure Information Protection поддерживается исключительно для классификации, а метки, по которым применяется защита, не отображающуюся для пользователей.

Метки отображаются в строке состояния в верхней части документа Office при нажатии кнопки Конфиденциальность в клиенте унифицированных меток или Защита в классическом клиенте.

Дополнительные сведения см. в статье Приложения, поддерживающие защиту данных Azure Rights Management.

Важно!

Расширенная поддержка Office 2010 завершилась13 октября 2020 г. Дополнительные сведения см. в разделе AIP и устаревшие версии Windows и Office.

Неподдерживаемые функции и возможности Office

  • Клиенты Azure Information Protection для Windows не поддерживают несколько версий Office на одном компьютере или переключение учетных записей пользователей в Office.

  • Функция слияние почты в Office не поддерживается ни одной из функций Azure Information Protection.

Брандмауэры и сетевая инфраструктура

При наличии брандмауэра или аналогичных промежуточных сетевых устройств, которые настраиваются для обеспечения конкретных подключений, ознакомьтесь с требованиями к сетевым подключениям, описанным в статье Office в разделе Общие для Microsoft 365 и Office Online.

Для Azure Information Protection выдвигаются следующие дополнительные требования:

  • Клиент унифицированной маркировки. Чтобы скачать метки и политики меток, разрешите доступ к следующему URL-адресу по протоколу HTTPS: *.protection.outlook.com

  • Веб-прокси. Если вы используете веб-прокси, который требует проверки подлинности, необходимо настроить на нем встроенную проверку подлинности Windows с учетными данными пользователя для входа в Active Directory.

    Чтобы обеспечить поддержку файлов Proxy.pac при использовании прокси-сервера для получения маркера, добавьте следующий новый раздел реестра:

    • Путь: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\.
    • Ключ: UseDefaultCredentialsInProxy
    • Тип: DWORD
    • Значение: 1
  • Подключения "клиент — служба" TLS. Не прерывайте подключения "клиент — служба" TLS к URL-адресу aadrm.com, например для проверки на уровне пакета. Это нарушает привязку сертификата, которую клиенты RMS используют в ЦС, управляемых корпорацией Майкрософт, для защиты обмена данными со службой Azure Rights Management.

    Чтобы определить, было ли подключение клиента прервано до того, как он установил связь со службой Azure Rights Management, используйте следующие команды PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    В результате должно быть указано, что выдающий центр сертификации относится к центру сертификации Майкрософт, например CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Если имя выдающего центра сертификата не относится к корпорации Майкрософт, скорее всего, безопасное подключение клиента к службе будет прервано и потребуется повторная настройка брандмауэра.

  • TLS версии 1.2 или более поздней (только клиент унифицированной маркировки). Чтобы обеспечить использование криптографически защищенных протоколов и соответствие рекомендациям безопасности Майкрософт, для использования клиента унифицированной маркировки требуется TLS версии 1.2 или более поздней.

  • Microsoft 365 Enhanced Configuration Service (ECS) . AIP необходим доступ к URL-адресу config.edge.skype.com, который является службой Microsoft 365 Enhanced Configuration Service (ECS).

    ECS предоставляет Майкрософт возможность перенастраивать установки AIP, не требуя от вас развертывать их заново. Это позволяет контролировать постепенное развертывание функций и обновлений, а также отслеживать их эффект по собираемым диагностическим данным.

    ECS также используется для устранения проблем с безопасностью или производительностью функций и обновлений. Кроме того, ECS поддерживает изменение конфигурации сбора диагностики, обеспечивая сбор данных о необходимых событиях.

    Ограничение доступа к URL-адресу config.edge.skype.com может лишить Майкрософт возможности устранять ошибки, а вас — тестировать предварительные версии функций.

    Дополнительные сведения см. в разделе Развертывание Office — Основные службы для Office.

  • Возможность сетевого подключения к URL-адресу ведения журнала аудита. Служба AIP должна иметь доступ к следующим URL-адресам для поддержки журналов аудита AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Только данные устройства Android)

    Дополнительные сведения см. в статье Необходимые условия для ведения отчетов в AIP.

Одновременная работа AD RMS и Azure RMS

Использование AD RMS и Azure RMS с Azure Information Protection параллельно в одной организации для защиты содержимого одним и тем же пользователем в той же организации, поддерживается только в AD RMS для защиты HYOK (собственным ключом).

Этот сценарий не поддерживаться во время миграции. Поддерживаются следующие пути миграции:

Совет

Если вы развернете Azure Information Protection и затем решите, что больше не хотите пользоваться этой облачной службой, обратитесь к статье Деактивация службы Azure Information Protection и ее вывод из эксплуатации.

В других не связанных с миграцией сценариях, когда обе службы активны в одной организации, обе они должны быть настроены таким образом, чтобы только одна из них позволяла любому конкретному пользователю защищать содержимое. Для таких сценариев следует задать указанные ниже настройки.

  • Используйте перенаправление для миграции из AD RMS в Azure RMS.

  • Если обе службы должны быть активны одновременно для разных пользователей, используйте конфигурации на стороне службы для принудительного применения правил исключения. Используйте элементы управления подключением Azure RMS в облачной службе и список управления доступом для URL-адреса публикации, чтобы установить для AD RMS режим только для чтения.

Теги служб

Если вы используете конечную точку Azure и NSG, обязательно разрешите доступ ко всем портам для приведенных ниже тегов службы.

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Кроме того, в нашем случае служба Azure Information Protection также зависит от приведенных ниже IP-адресов и порта.

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Порт 443 для трафика HTTPS

Обязательно создайте правила, разрешающие исходящий доступ к указанным IP-адресам и через этот порт.

Поддерживаемые локальные серверы для защиты данных Azure Rights Management

При использовании соединителя Microsoft Rights Management в Azure Information Protection поддерживаются перечисленные ниже локальные серверы.

Этот соединитель выступает в качестве интерфейса связи и ретранслирует данные между локальными серверами и службой Azure Rights Management, которую Azure Information Protection использует для защиты документов и сообщений электронной почты, созданных в Office.

Для использования этого соединителя требуется настройка синхронизации между лесами Active Directory и Azure Active Directory.

Поддерживаемые серверы приведены ниже.

Тип сервера Поддерживаемые версии
Exchange Server — Exchange Server 2019
— Exchange Server 2016
— Exchange Server 2013
— Exchange Server 2010
Office SharePoint Server — Office SharePoint Server 2016
— Office SharePoint Server 2013
— Office SharePoint Server 2010
Файловые серверы под управлением Windows Server с инфраструктурой классификации файлов (FCI) — Windows Server 2016
— Windows Server 2012 R2;
— Windows Server 2012;

Дополнительные сведения см. в статье Развертывание соединителя службы управления правами Microsoft.

Поддерживаемые операционные системы для Azure Rights Management

Служба Azure Rights Management, обеспечивающая защиту данных для AIP, поддерживается в указанных ниже операционных системах.

OS Поддерживаемые версии
Компьютеры с Windows — Windows 7 (x86, x64)
— Windows 8 (x86, x64)
— Windows 8.1 (x86, x64)
— Windows 10 (x86, x64)
macOS минимальная версия macOS — 10.8 (Mountain Lion).
Телефоны и планшеты на базе Android Версия Android не ниже 6.0
iPhone и iPad Версия iOS не ниже 11.0
Телефоны и планшеты с Windows Windows 10 Mobile

Дальнейшие действия

Изучив все требования для AIP и убедившись, что система им соответствует, перейдите к выполнению инструкций статьи Подготовка пользователей и групп к использованию в Azure Information Protection.